Unidad 1 / Escenario 1

Lectura fundamental

La gestión de la seguridad

Contenido
1 ¿Qué es la gestión de la seguridad?

2 Beneficios de la gestión de la seguridad

3 Realidades de la gestión de la seguridad

Palabras clave: gestión de seguridad, gestión de riesgos, mejora continua, seguridad, información, ciberseguridad.
1. ¿Qué es la gestión de la seguridad de la información?
El término gestión tiene un conjunto de implicaciones que han sido abordadas desde diversas ramas
del conocimiento, siendo las ciencias administrativas y económicas las que llegan a una definición
en torno a la coordinación y organización de actividades orientadas a lograr unos objetivos o metas
previamente definidos. De acuerdo con algunas teorías económicas, la gestión implica a su vez hablar
de innovación y mercadeo (Stain, 2005).

La gestión de la seguridad de la información no se encuentra ajena a la anterior definición, ya que

dentro de sus funciones se incluye la planeación de las actividades, recursos y responsabilidades
referentes a la seguridad de la información, es decir que involucra factores relacionados con
tecnología, personas y seguridad física. Así mismo, la gestión tiene en cuenta el marco normativo
establecido por medio de políticas, lineamientos, requerimientos y todos aquellos mecanismos a
través de los cuales se socializan las responsabilidades y obligaciones frente a la seguridad de la
información en una organización, proyecto o incluso simplemente una actividad.

¿Sabía que...?
A pesar de que usualmente la gestión de la seguridad de la
información está definida como un tema técnico, en realidad
se trata de un tema estratégico alineado con los objetivos del
negocio, para así no solo cumplir con la labor de proteger la
información, sino también generar beneficios.

Con la mención anterior del conjunto de diversos componentes de la seguridad se busca establecer
una estructura basada, en una primera parte, en los objetivos de la seguridad de la información
representados principalmente por la triada confidencialidad, integridad y disponibilidad (CID), las
cuales pueden cambiar en trascendencia y alcance de acuerdo con el tipo de entidad, negocio o
mercado, entre otras.

POLITÉCNICO GRANCOLOMBIANO 2
A continuación, se encuentran las actividades y procesos requeridos para lograr estos objetivos de
seguridad, tales como protecciones, clasificación de datos, determinación de requerimientos de
protección de la organización, y medidas de contención, los cuales son posibles de identificar gracias
a actividades como la detección y clasificación de activos de información, para posterior análisis de
riesgos y amenazas asociadas.

En un peldaño superior, como resultado de los análisis de riesgos, se establecen controles,

salvaguardas y mecanismos que permiten establecer niveles de seguridad acordes a la sensibilidad y
criticidad de la información. Sin embargo, estos controles van asociados a otros elementos, como la
medición por medio de indicadores que determinan si el alcance de lo establecido con cada control
aporta a la reducción de la probabilidad e impacto del riesgo. Así mismo, se cuenta con mecanismos
de detección de situaciones que afecten la seguridad, ya sean nuevas amenazas, incidentes,
vulnerabilidades, entre otras.

En la parte superior de la estructura se encuentran los objetivos del negocio, y es vital su aparición en
este punto dado que estos son los que determinan hacia dónde se debe gestionar la seguridad de la
información, es decir, no se definirá un marco de acción sobre activos de información o información
misma que no tienen importancia alguna en la consecución de los objetivos empresariales.

Objetivos
del negocio

Controles y Mecanismos
salvaguardas Mecanismos
de medición de detección
de seguridad

Identificación Clasificación de Gestión de riesgos

de activos de la información de seguridad
información

Integridad Disponibilidad Confidencialidad

Figura 1. Escala de principios de la seguridad de la información en el negocio

Fuente: elaboración propia

POLITÉCNICO GRANCOLOMBIANO 3
Previamente se mencionaron la innovación y el mercadeo, y estos son otros aspectos que usualmente
se descuidan al hablar de la gestión de la seguridad de la información. Esto se debe a que la literatura
existente no aborda temas de motivación con innovación al realizar actividades en torno a la
generación de conciencia o en los mecanismos en los que se entregan los controles de seguridad para
protección del negocio, por nombrar algunos ejemplos. Es por ello que temáticas como la gestión del
cambio son vitales para este Módulo.

Ahora, en cuanto a las motivaciones en torno a la gestión, se debe hablar de la implementación de

sistemas de gestión de la seguridad de la información (SGSI). Estos sistemas nacen como respuesta
a necesidades organizacionales, tales como proteger información debido a su sensibilidad o criticidad;
en otros casos puede deberse a requerimientos regulatorios. Un ejemplo de este último caso en
Colombia son los requisitos establecidos para instituciones financieras por su ente rector, es decir
la Superintendencia Financiera de Colombia (https://www.superfinanciera.gov.co/publicacion/
circulares-externas-cartas-circulares-y-resoluciones-desde-el-ano-2005-20149) que en
algunas de las circulares que ha puesto en publicación solicita a las organizaciones la implementación
de controles de seguridad, incluso al punto de hablar de implementación de SGSI basados en
normas ISO/IEC 27001. En otros casos, se pueden encontrar organizaciones cuyo objetivo de
implementación del SGSI es la debida diligencia al salvaguardar de forma óptima sus activos y brindar
confianza a clientes, inversionistas y partes interesadas del negocio.

Vale la pena hacer una corta descripción del término recién mencionado: las partes interesadas es
un término que se asocia a personas u organizaciones que pueden afectar, ser afectadas o pueden
percibir afectación a causa de una actividad o decisión. La importancia de este término se debe a que
entrando a la definición de lo que es un SGSI, las partes interesadas juegan un papel fundamental
en el apoyo, la asignación de recursos, así como en la implementación de controles y participación
en cada una de las actividades. Así como se busca lograr los objetivos de la organización, también es
necesario solventar las necesidades de estos interesados, pues, al fin y al cabo, son patrocinadores, y
su apoyo a la gestión de la seguridad es determinante como un factor de éxito.

Luego de analizar estos elementos, es vital comprender que la gestión de la seguridad no es un

trabajo aislado del negocio y mucho menos un elemento que se logre con un trabajo meramente
documental o superficial. Por lo anterior, la comprensión de todo el esfuerzo de coordinar
elementos administrativos, técnicos, físicos, legales y, por supuesto, humanos, toma tiempo, ya que
requiere afinamiento, perfeccionamiento y es esto lo que se aborda a través de la mejora continua,
independientemente que exista o no un sistema de gestión.

POLITÉCNICO GRANCOLOMBIANO 4
 Clientes

Inversionistas
Mercado

Competencia Socios

Organización
Gobierno
Proveedores

Entes de
control
Directivos Empleados

Figura: Coordinación de la gestión en seguridad

Fuente: elaboración propia

La gestión de la seguridad puede ser analizada como un conjunto de mecanismos afines a los
instrumentos y componentes de un reloj; es decir, en la medida que son más elaborados, alcanzan
mejores resultados y tienen menores fallas. Así mismo, la gestión requiere de un alto compromiso
por parte de las partes interesadas, ya sean empleados, directivos o jefes de área; del impacto de
acciones y decisiones de partes interesadas externas, como entes de control, clientes, participantes
del mercado y competencia; y de una base normativa conformada por leyes, requerimientos propios
de un mercado y regulaciones, entre otras.

2. Beneficios de la gestión de la seguridad

Con el fin de lograr una mejor explicación de los pros y contras de gestionar la seguridad, a continuación
se presentan los beneficios de un proceso o conjunto de actividades ordenadas en torno a la seguridad.

POLITÉCNICO GRANCOLOMBIANO 5
 2.1. Generación de valor

La creación de valor para una organización va más allá de mejorar los beneficios económicos a
inversionistas y socios, también se puede hablar de valor en el aumento de la capacidad en la
realización de actividades por parte del personal; el aporte al mejoramiento de la percepción de la
labor de la organización en su entorno o en la sociedad; e incluso en cómo la misma organización
aporta a la calidad de vida de sus empleados.

Al analizarlo en más detalle, pensar en generar valor desde seguridad es complejo cuando no se
visualiza como un tema estratégico. Sin embargo, se puede observar una generación de valor al
brindar confianza a inversionistas, clientes e incluso a los empleados en la organización, cuando
determinan que su información y recursos, entre otros, se encuentran protegidos adecuadamente;
o que a pesar de presentarse situaciones adversas como un ataque informático, no se permitió a los
criminales lograr su cometido. Detalles así permiten que la concepción de la seguridad esté basada en
hechos y no brinde una falsa sensación de protección.

Otro elemento generador de valor al hablar de seguridad es la gestión del conocimiento. Procesos
como la identificación de la información en su contexto y entorno posibilitan realizar el seguimiento
al conocimiento que solo está en cabeza de una persona, por lo que requiere ser gestionado por
medio de actividades de transferencia de conocimiento, capacitación de compañeros, volcado de
información en memorias documentadas, entre otras ideas. Eso al final será gestionar la disponibilidad
de la información, independientemente de que las personas estén o no en la organización, lo cual
genera beneficio y continuidad del negocio.

2.2. Mejoramiento de procesos

La concepción de la seguridad como un impedimento u obstáculo al negocio es causado por las

constantes prohibiciones y negativas basadas en que las iniciativas en seguridad son un riesgo o
que simplemente van por una línea totalmente diferente a los objetivos, metas y estrategias de las
organizaciones. Esto ocurría en una época pasada de la seguridad. En la actualidad, a través de la
implementación y posterior gestión de controles de seguridad, basados en una previa identificación de
riesgos, amenazas y debilidades, la gestión de la seguridad ha mejorado sus procesos.

POLITÉCNICO GRANCOLOMBIANO 6
 Cómo mejorar...
En la actualidad usabilidad se ha convertido en un vocablo relevante cuando se
habla de tecnología. Para conocer un poco más del tema, se recomienda revisar
el documeto publicado por el Instituto Nacional de Estándares y Tecnología de
Estados Unidos (NIST), Usability and Security Considerations for Public Safety
Mobile Authentication (Choong, Franklin & Greene, 2016).

Un ejemplo de ello son las tecnologías denominadas single sign-on, las cuales permiten acceder a
múltiples sistemas, aplicaciones o recursos de información, con una única cuenta de usuario y sus
correspondientes credenciales. Esto se asocia al concepto de usabilidad, que se puede explicar en
pocas palabras como el modo en que las personas o usuarios emplean algo, y la cual es una de las
necesidades actuales de la seguridad, pues permite mejorar los niveles de protección y del uso de la
tecnología para generar mejoras en los procesos.

Otra forma de mejoramiento presente en la seguridad aparece en el momento en el que la

identificación del uso de la información permite generar acciones de control frente a cómo se usa,
procesa y trata.

En ocasiones esto permite ofrecer soluciones o procedimientos, no solo tecnológicos sino de

procesos y administrativos, entre otros. Un ejemplo es el establecimiento de mecanismos de
identificación y gestión de segregación de funciones en procesos y aplicaciones, lo que reduce el
riesgo de fraude o acciones maliciosas que puedan llegar a afectar a las áreas financieras y contables
de las organizaciones.

2.3. Uso responsable de recursos de información

A partir de las actividades de generación de conciencia en seguridad de la información, orientadas al

personal de las diferentes áreas de una organización, es posible facultar a este para poner en práctica un
comportamiento preventivo respecto a cómo se emplea la información, siendo conscientes de los peligros
y situaciones adversas que se presentan en la actualidad.

POLITÉCNICO GRANCOLOMBIANO 7
Una de estas actividades pude ser la de enseñar la importancia de las copias de seguridad de
información sensible o crítica para procesos; esto permitirá que el personal genere una autogestión y
emplee de la mejor forma estas herramientas tecnológicas, y así empoderar al usuario de la seguridad,
dado que es quien mejor entiende la importancia de la información que emplea para sus actividades
del día a día.

Otra forma de observar lo anterior es en un escenario en el cual es necesario realizar un intercambio

de información con un tercero y que, de acuerdo con lo definido en políticas de seguridad o
documentos como el uso aceptable de la información, indica que debe ser realizado de forma cifrada.
Por el conocimiento previo de que existe un mecanismo técnico del cual se recibió explicación, la
persona estará en capacidad de cifrar la información y enviarla por este mecanismo, reduciendo así el
riesgo de acceso no autorizado a los datos.

Es cierto que los beneficios no se logran de un día para otro y la generación de conciencia, el
entendimiento de las políticas y todos estos elementos requieren de un tiempo de socialización,
capacitación, aplicación y acompañamiento para verse correctamente aplicados. Sin embargo, estos son
mecanismos que permiten que todos los controles y elementos que se implementan en seguridad, para
proteger la información, no sean ignorados y olvidados por parte de quienes están destinados a usarlos.

¿Sabía que...?
En la seguridad de la información siempre se ha considerado a las personas los
elementos más débiles dentro de la ecuación, los cuales se busca mejorar por
medio de técnicas como la ingeniería social y llevarlos a desarrollar actividades o
acciones que bajo otras circunstancias no serían posibles.

Hay que trabajar en fortalecer las capacidades de reacción y actuar de las personas
en cuanto a seguridad. Este es el filtro más importante que se puede activar en
seguridad de la información.

POLITÉCNICO GRANCOLOMBIANO 8
 2.4. Protección holística del negocio

Las organizaciones, más allá de tamaños, mercados, actividades económicas, entre otros aspectos,
suelen presentar una estructura que puede llegarse a asimilarse con un organismo vivo, por lo que
se debe buscar que las soluciones sean holísticas, sistémicas y de amplia cobertura, pensando en la
optimización de recursos (personas, tiempo y dinero). Esto será valioso en cuanto a la seguridad,
particularmente para cambiar la concepción de que es un gasto más que una inversión.

De acuerdo con lo anterior, no es posible aislar totalmente procesos o actividades en una organización,
pues la interdependencia de procesos, actividades e, incluso, del mismo uso de la información hacen
que se requiera de una relación, intercambio o socialización para desempeñar labores. Es decir que
aquellas visiones antiguas que establecían que era posible implementar seguridad para un único proceso
o actividad específica de una organización no son adecuadas para las organizaciones actuales, pues,
aunque no todas las actividades y procesos enfrentan los mismos riesgos, se pueden reusar y emplear
controles para sacarles el mejor provecho, siempre optimizando recursos disponibles.

Finalmente, basado en el precepto de la interacción entre las partes de una organización, se debe tener
en cuenta que las acciones que se desarrollen en un proceso, pueden tener impacto en los que le sigan.
Así que, en el momento de diseñar controles de seguridad, se debe tener siempre presente cómo
se afecta el negocio con ese elemento o mecanismo que se busca implementar, para no generar un
impacto negativo en la disponibilidad, en lugar de generar una protección para la organización.

2.5. Preparación oportuna ante peligros existentes

La preparación para enfrentar todos los tipos de amenazas, peligros y riesgos de seguridad o que
tengan de alguna forma impacto en la disponibilidad del servicio o de la operación es lo ideal.
Sin embargo, esto no es posible, dado que implica un conocimiento absoluto del entorno, del
comportamiento de variables que incluso no se pueden controlar o manejar; no obstante, no significa
que no sea posible tener una preparación estructurada para enfrentar situaciones que pueden haber
enfrentado otras organizaciones del mismo mercado y socios, así como tener en el radar los diversos
factores de riesgos que pueden llegar a generar un impacto, incluso llegando a dejar de lado qué tan
probables o no sean.

Es en este apartado en el que la gestión de incidentes y la gestión proactiva de riesgos proveen

herramientas de juicio, así como elementos de detección oportuna de situaciones problema que
tienen trascendencia en la seguridad de la información de las organizaciones.

POLITÉCNICO GRANCOLOMBIANO 9
El primer elemento de la gestión de incidentes brindará bases de conocimiento y preparación ante
eventos que puedan afectar de forma controlada o aislada la seguridad. Por su parte, la gestión de
riesgos ofrece una gestión de más alto nivel ante peligros que puedan atentar directamente alguna de
las propiedades de la seguridad y, por ende, generen impactos económicos, legales, reputacionales,
operacionales, entre otros, a la organización.

3. Realidades de la gestión de la seguridad

En cuanto a los contras o puntos negativos de la seguridad, es importante conocer aquellos
elementos o situaciones que hacen que la gestión de la seguridad de la información tenga detractores
y dificultades para implementarse y mantenerse dentro de una organización.

3.1. Percepción como gasto

A diferencia de las inversiones en tecnologías que apoyan la operación con el fin de reducir esfuerzos,
tiempos o aumentar productividad, la seguridad no es tan simple de presentar en los mismos términos.
Ello no significa que la seguridad sea un gasto y no una inversión. A través del cálculo de Return on
secuirty investment, mejor conocido por su sigla ROSI, es posible determinar qué ahorro puede
generar la seguridad de la información para una organización al evitar la materialización de riesgos
o la presencia de incidentes o eventos de seguridad que alteren el flujo usual de las operaciones o
actividades de esta.

Sin embargo, es vital plantear que independientemente del ROSI, la inversión de los recursos
autorizados o permitidos para seguridad deben realizarse a través del establecimiento de controles para
gestionar riesgos o como acciones preventivas para evitar incidentes y riesgos reales, viables o posibles,
de lo contrario, se tratará de un gasto en elementos que no serán aprovechados correctamente.

3.2. Cumplimiento exclusivo

La implementación de seguridad nace en algunas organizaciones como respuesta al requerimiento explícito

de una norma, regulación o ley con respecto a algún tema de protección de seguridad informática de la
información de datos, etc.

POLITÉCNICO GRANCOLOMBIANO 10
Esto implica que el esfuerzo se orientará exclusivamente a llegar al nivel de cumplimiento, cohibiendo
de la posibilidad de ir más allá y lograr mejoramiento de procesos, protección, gestión del riesgo, entre
otras posibles mejoras.

De alguna forma, aunque brinde un punto de partida para el trabajo en la implementación,

el cumplimiento básico puede al mismo tiempo ser una limitante, y es debido a esto que las
organizaciones llegan a un punto de estancamiento en seguridad suficiente para enfrentar los
escenarios y situaciones cambiantes y dinámicas que se pueden presentar en la actualidad en torno a
temas como ciberseguridad, protección de datos personales, entre otros.

3.3. No hay el apoyo esperado

La dirección de las organizaciones no observa el factor estratégico y las oportunidades que brinda
la seguridad como generador de confianza para clientes y otras partes interesadas y mecanismo de
defensa interno y externo ante peligros del medio tradicional en el que la organización se desempeña.

La tarea inicial en la gestión de seguridad para lograr un cambio en esa concepción es la ilustración y
socialización de cómo la seguridad trasciende de lo técnico para convertirse en un tema estratégico,
de relevancia para la alta dirección, y cómo el dedicar recursos, entre ellos, la atención al tema,
permitirán dar un manejo adecuado y que la misma dirección sea un líder en los procesos de gestión
de seguridad.

Todo lo anterior requiere conocer el tipo de organización, para lograr alianzas estratégicas con otras
áreas, procesos y grupos que, a su vez, aportan a ver la seguridad como un tema relevante y
generador de valor.

En síntesis...
Gestionar la seguridad de la información representa un esfuerzo constante
dentro de la organización, para lograr justificar la necesidad de recursos; poder
implementar elementos, controles y mecanismos, para fortalecer la gestión de
riesgos y reducir el impacto y probabilidad de posibles amenazas, debilidades y
factores que atenten contra la confidencialidad, disponibilidad, integridad y otras
propiedades de la información, como la trazabilidad, no repudio y autenticidad.

POLITÉCNICO GRANCOLOMBIANO 11
Referencias
Choong, Y., Franklin, J. M. & Greene, K. K. (2016). Usability and Security Considerations for Public
Safety Mobile Authentication. Recuperado de https://csrc.nist.gov/publications/detail/nistir/8080/
final

Stain, G. (2005). Lo mejor de Peter Drucker sobre márketing e innovación. Harvard Deusto
Márketing Y Ventas, (72), 75-79. Recuperado de https://www.harvard-deusto.com/lo-mejor-de-
peter-drucker-sobre-marketing-e-innovacion

POLITÉCNICO GRANCOLOMBIANO 12
 INFORMACIÓN TÉCNICA

Módulo: Gestión de la Seguridad

Unidad 1: Introducción y conceptos básicos de la
gestión de seguridad
Escenario 1: Introducción a la gestión de seguridad
de la información

Autor: Jeffrey Steve Borbón Sanabria

Asesor Pedagógico: Juan Felipe Marciales Mejía

Diseñador Gráfico: Henderson Jhoan Colmenares López
Asistente: Laura Andrea Delgado Forero

Este material pertenece al Politécnico Grancolombiano.

Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO
POLITÉCNICO GRANCOLOMBIANO 13