Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COLUMNISTAS
Gestión de Riesgos
Cibernéticos
Por Juan Carlos Villaveces en Seguridad Informática
Privacidad - Términos
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 1/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
MÁS SECCIONES
Facebook
COLUMNISTAS
Twitter
En la medida que estamos expuestos a más comunicación e información nos enteramos de nuevos
temas que a primera vista consideramos que son especializados y creemos que no competen a la
dirección general de una empresa. Ya en este momento hay una preocupación porque el término
transformación digital empieza a aparecer saturado y todas las actividades empresariales buscan
asociarse a este, quizás buscando una vigencia y una actualización a sus conceptos tradicionales.
Pero lo que nadie puede rebatir en este momento es que las circunstancias nos han obligado a estar
más conectados virtualmente y a depender más de la tecnología para lograr los objetivos de
nuestras empresas.
Hay que tener cuidado en no confundir los términos y el hecho que trabajemos de manera remota
no necesariamente significa que seamos unos tele-trabajadores. La mayoría de las empresas
estamos utilizado herramientas que nos permiten trabajar así, tener vídeo conferencias y compartir
información, pero aún son pocas las que cuentan con sistemas de trabajo integrales y han apropiado
una cultura real de trabajadores remotos. Esto implicará construir documentos de forma
colaborativa, integrar los diferentes medios de comunicación y tener una trazabilidad real de lo que
cada uno hace.
En medio de nuestra nueva realidad aparece otro de estos términos que empieza a ser muy
relevante: la ciberseguridad. Los datos son nuestro principal activo y en la medida que utilizamos
más medios para trasportarlos estamos más expuestos.
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 2/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
GESTIÓN
posibles HUMANA
intentos LEGISLACIÓN
de apropiarse SALUDo comoFINANZAS
de nuestra información se EDUCACIÓN
comúnmente
denominan ataques
cibernéticos.
MÁS SECCIONES COLUMNISTAS
La pandemia mundial y nuestras nuevas condiciones de trabajo han evidenciado esta realidad y
vemos como todos los días nos llegan correos sospechosos de personas desconocidas que nos
ofrecen muchos temas que parecen formales e interesantes pero que pueden estar siendo la puerta
de entrada para una invasión a nuestros sistemas y nuestra información. Las estadísticas de los
centros de monitoreo muestran que los ciberataques han crecido de manera exponencial en los
últimos meses y aunque la cultura de reporte no es tan elevada se sabe que los casos en los que los
delincuentes han logrado su objetivo, es igualmente muy alta.
En el mercado encontramos muchas iniciativas que se pueden considerar aisladas, para ayudarnos a
actuar frente a estos riesgos evidentes. Desde la implementación de herramientas como antivirus,
administración de contraseñas, canales dedicados de comunicación o ayudas más sofisticadas que
aplican a grandes organizaciones hasta soluciones como charlas, capacitaciones o pólizas de
seguros entre otras. Cuando tenemos una alta exposición a riesgos sabemos que lo que se debe
hacer es abordar el problema de forma integral.
Aunque en mi opinión muchos de los estándares de calidad internacional pueden resultar un poco
rígidos y no siempre aplicables al común de las empresas, sí reconozco que tienen una
aproximación formal y rigurosa a las realidades empresariales. Es así como en la norma ISO
31.000 encontramos los lineamientos generales de una adecuada Gestión de Riesgos. Parámetros
aplicables a diferentes situaciones de exposición y con una metodología simple para mitigar el
impacto que estos riesgos pueden tener en la actividad productiva.
Por lo tanto, nuestra recomendación para protegerse ante los riesgos cibernéticos que nos inundan
cada vez más es implementar una política integral de gestión de riesgos cibernéticos en la empresa.
¿Pero, en qué consiste esta? Vamos a describir unos elementos muy elementales para iniciar los
trabajos basados en los conceptos básicos de gestión de riesgos: Integrar, diseñar, Identificar,
analizar, evaluar y tratar.
Todos estos de la mano con acciones de medición y la comunicación. Sin pretender que esta sea
una reseña técnica ni de capacitación sí es importante mencionar que cada una de estas fases tiene
un contenido profundo que se debe conocer, pero que en acá esbozamos de la siguiente manera.
Integrar
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 3/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
LaGESTIÓN HUMANA
integración a laLEGISLACIÓN
se refiere SALUD
importancia de articular
nuestro FINANZAScon
programa EDUCACIÓN
la planeación
estratégica de la compañía y que haga parte de un programa continuo y administrado por los
MÁS SECCIONES COLUMNISTAS
directivos.
Diseñar
Con relación al diseño debemos pensar que sea un programa que llegue a todos los empleados y
que pueda tener indicadores de medición lógicos y viables de generar. Como se hablará de un
concepto que puede ser relativamente abstracto como los datos es necesario delimitar el alcance del
programa.
Identificar
Identificación de riesgos se va a centrar en categorizar la información que administramos en la
organización para saber cuál es la realmente relevante, comúnmente llamada en la industria como
la “joya de la corona”. ¿Qué le pasa a mi negocio si pierdo algo de esa información? ¿Qué tanto
tiempo nos vamos a demorar en recuperar esa información?
Analizar
El análisis de los riesgos se centra en detallar las condiciones de exposición y las implicaciones que
tiene cada una de las afectaciones. Por ejemplo, qué tanto afecta a mis clientes, a los entes
regulatorios o a terceros. ¿En qué casos pueden ocurrir los problemas y qué medidas de
contingencia tenemos? ¿Cuáles son los riesgos inherentes a mi actividad? es decir aquellos en los
que tenemos un nivel de riesgo mayor por el desarrollo de la misma.
Evaluar
La evaluación entra ya en un campo un poco más específico cuando se trata de información y es la
acción de cuantificar su impacto. Esto implica valorar cada una de las categorías de riesgos lo cual
supone que tenemos un sistema de costeo bien desarrollado en nuestra empresa.
Tratar
Por último, están las acciones de tratamiento del riesgo donde definimos cuales son las
herramientas y medidas que vamos a implementar para mitigar nuestros riesgos con un análisis de
costo beneficio que no afecte nuestro negocio.
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 4/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
GESTIÓNestos
Siguiendo HUMANA LEGISLACIÓN
pasos podemos SALUD básico
dar inicio aun programa FINANZAS EDUCACIÓN
de riesgos
de gestión en
enfocados
la ciberseguridad. Pero es de resaltar que las estadísticas y las observaciones mundiales evidencian
MÁS SECCIONES COLUMNISTAS
que los principales riesgos están centrados en dos factores. EL primero son las personas y el
segundo son los terceros con los que interactúa nuestra empresa. Aunque tengamos muchas
políticas, medidas y controles una falla en el comportamiento humano es muy difícil de controlar si
no hay una conciencia y se actúa de forma ligera.
La seguridad informática es una responsabilidad de todos los empleados y más ahora que en el
trabajo desde nuestras casas mezclamos actividades laborales con las personales desde los mismos
sistemas de información, y por último los terceros, pues en muchos casos tomamos medidas y
acciones para protegernos de los riesgos cibernéticos pero les damos accesos relativamente
sencillos a los terceros para que entren a nuestra red y no verificamos qué medidas toman ellos.
La Gestión de Riesgos Cibernéticos debe ser una prioridad en la agenda de todo gerente y debemos
velar por actuar coordinadamente. Es necesario involucrar a todos los empleados y velar porque sea
un programa continuo que sea evaluado periódicamente por la alta dirección para así lograr una
verdadera apropiación del mismo.
Tecnología
Comentario *
Nombre *
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 5/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez que comente.
PUBLICAR EL COMENTARIO
Artículos Recientes
Artículos Destacados
EMPRESAS TECNOLOGÍA
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 6/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
EMPRESAS FINANZAS
EDUCACIÓN
Microaprendizaje y
Gamificación
POR GONZALO OVIEDO
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 7/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
David Pereira
CEO - SecPro Security Professionals
Facebook Twitter
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 8/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
SeGESTIÓN
ha vueltoHUMANA LEGISLACIÓN
frecuente para nosotros SALUD
cada
el ver en oFINANZAS
noticiero EDUCACIÓN
periódico, noticias referentes a una
nueva filtración de datos, ciber ataques a gran escala, robo de dinero de las cuentas bancarias de las
MÁS SECCIONES COLUMNISTAS
empresas o de las personas, estafas con la vacuna para el COVID-19, etc. y todo esto genera al
final una sensación de malestar, incertidumbre y temor por parte del público en general.
Lo que más inquieta a las personas en estos momentos es la incertidumbre, y estamos saturados
permanentemente por datos que cada vez nos generan más preocupación: La Pandemia del
COVID-19, la economía en picada, y los Ciberdelincuentes que al igual que la mayoría de nosotros
se encuentran haciendo teletrabajo fuertemente, buscando nuevas víctimas.
El objetivo de este artículo no es en ningún caso continuar con el ánimo tremendista y sombrío que
actualmente nos aqueja, sino por el contrario dar una luz de esperanza acerca de que el
ciberdelincuente no va a ganar si nosotros decidimos no permitírselo. Está en cada uno de nosotros
el decidir ser una víctima potencial de los ciberdelincuentes o no serlo, y ahí viene la pregunta:
¿Cómo evito ser una víctima? la respuesta es muy sencilla: concientización.
1. Ciberhigiene: Tal vez el más importante de todos los conceptos que debemos apropiar en
nuestra vida e inyectarlo en nuestro ADN digital. Debemos observar normas de ciberhigiene en el
uso de nuestros dispositivos, no me refiero al tapabocas y al gel antibacterial, me refiero a que no
comentamos errores tan frecuentes como: Instalar cualquier aplicación en nuestros celulares que
nos haya parecido llamativa, agradable o útil por el simple hecho de que nos llamó la atención.
Cuántas veces hemos instalado una App para jamás usarla, pero eso sí: nos pidió acceso a nuestras
fotos, nuestros contactos, nuestra cámara, nuestro micrófono nuestra geolocalización y a todo
dijimos que sí, sin pensar que nosotros mismos acabamos de autorizar a alguien a que tenga acceso
a nuestra información más personal, íntima y privada; luego preguntamos por qué o cómo pudieron
tener acceso a nuestras fotos o a nuestros correos para sobornarnos.
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 9/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
GESTIÓN
Con HUMANA
Ciberhigiene LEGISLACIÓN
abarcamos de SALUD
el uso adecuado FINANZAS
nuestros dispositivos EDUCACIÓN
tecnológicos
de manera
consciente, otro ejemplo: ¿cuántos de nosotros le entregamos nuestro celular al niño o niña para
MÁS SECCIONES COLUMNISTAS
que juegue y nos deje unos minutos de tranquilidad? Usamos los celulares y tabletas como niñera
digital, sin controlar lo que los menores hacen o a dónde acceden con nuestros dispositivos, muchas
veces tenemos almacenados los datos de nuestras tarjetas de crédito o cuentas bancarias en nuestros
dispositivos, y a través de un juego, le damos acceso al delincuente a esos valiosos datos.
Ultimo ejemplo: Es posible que sus hijos ya tengan acceso a sus propios computadores, celulares,
tabletas o consolas de vídeo juegos ¿sabían ustedes que uno de los mecanismos favoritos de los
pederastas para contactar y comunicarse con menores son los chats de los vídeo juegos? de ahí
surge la necesidad de implementar control parental, las cuales son tecnologías que les permiten a
los Padres el controlar y monitorear el uso de los dispositivos por parte de los menores. La
Ciberhigiene como ven, tiene que ver con el uso seguro, adecuado y consciente de nuestros
dispositivos.
2. Entender que cada interacción en la Internet deja una sombra digital con diferentes datos
nuestros, los cuales podrían ser utilizados por un ciberdelincuente para perfilarnos, así que
debemos controlar y entender qué tanta información entregamos al mundo, estamos hablando de:
fotos, correos electrónicos, mensajes, etc. El concepto de perfilamiento tiene que ver con entender a
la víctima: su nombre completo, cédula, teléfono, correos electrónicos, gustos, familiares, amigos,
cónyuge, empresa donde trabaja, libros que lee, lugares que visita, donde vive, a donde viaja,
asociaciones o entidades a las que pertenece, etc. Información valiosísima para un delincuente que
quiera atacar una contraseña, o enviarnos un correo falso para que caigamos en una trampa, y lo
peor es que si lo piensan con detenimiento, ya ustedes están entregando gran parte de esta
información en sus redes sociales; y aquí viene una recomendación: seleccionen opciones de
privacidad en sus redes sociales y no acepten a cualquiera que les envíe una invitación, tal cual
como hacen en la vida real, no se dejen llevar por esa falsa sensación de tranquilidad creyendo de
que al estar separados por una pantalla los bandidos no nos pueden hacer daño.
3. Informarnos acerca de los mecanismos de defensa que podemos utilizar o implementar, tales
como antivirus, navegadores seguros, cifrado del correo electrónico y muchas más.
4. Consultar a los expertos acerca de las dudas que se tengan recordemos que no es nuestra
obligación como usuarios el saberlo todo ni ser expertos en todo, para eso existen personas con el
conocimiento adecuado y las ganas de compartirlo.
5. Conciencia Situacional siempre que estemos interactuando con un sitio web, revisando un
correo electrónico, recibiendo un enlace por medio de nuestra mensajería preferida, pensar acerca
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 10/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
deGESTIÓN HUMANA
la información estoy LEGISLACIÓN
que SALUD
entregando y laque estoy FINANZAS
recibiendo
y determinar EDUCACIÓN
qué nivel de riesgo
podríamos estar enfrentando.
MÁS SECCIONES COLUMNISTAS
Reciba los artículos más recientes en su correo electrónico. Enviando este formulario, usted acepta
nuestra política de privacidad.
E-mail: (requerido)
ENVIAR
Comentario *
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 11/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
Nombre *
Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez que comente.
PUBLICAR EL COMENTARIO
Artículos Recientes
Artículos Destacados
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 12/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
EMPRESAS DIGITAL
TECNOLOGÍA
La Ruta de la Investigación
Interna
POR FERNANDO CEVALLOS
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 13/14
9/4/24, 16:41 Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral
CONTACTO
LINKS DE INTERES
INICIO
SUSCRIPCIONES
TIENDA
CONTACTO
POLÍTICA DE PRIVACIDAD
RECIENTES
file:///D:/99. Temas de Ciberseguridad/Gestión de Riesgos Cibernéticos - Revista Empresarial & Laboral.html 14/14