E-BOOK

GRATUITO

Fundamentos de
gestión de Seguridad
de la Información
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

ÍNDICE
Introducción...........................................................................................................................................04
Gobernanza, políticas y objetivos de seguridad de la información........................05
· La SI y sus objetivos.......................................................................................................................07
· Una política que construya .......................................................................................................08
Planificación y recursos necesarios en seguridad de la información.....................09
· ¿Es necesario planificar en el área de seguridad de la información?....................10
· ¿En qué punto interviene la estrategia?...............................................................................11
· Cuestión de recursos ...................................................................................................................12
Ingeniería en seguridad de la información, definiendo requisitos técnicos.......13
Cumplimiento legal en materia de SI. ¿Qué debe tener en cuenta?.......................17
· Requisitos de diferentes tipos..................................................................................................19
· Otros aspectos por considerar................................................................................................19

02

isotools.us
Disfrute con nuestros

E-BOOKS
 Fundamentos de Gestión de
Seguridad de la Información

Introducción
Hoy en día es pertinente afirmar que nos encontramos inmersos en la sociedad de la
información. Parte de la evolución de una sociedad, precisamente, pasa por compartir
información entre sus miembros. La información que se puede transmitir entre los
distintos componentes de la sociedad puede ser de diferentes clases: puede ser personal
o de empresas.

Cuando hacemos referencia a información de empresas se pone el foco en el

que a día de hoy se considera el activo más importante de una compañía. Al
nombrar la información de empresas se hace referencia a aquella perteneciente a
clientes, información de facturación, el código fuente, la información core de negocio o
documentación como plantillas y procedimientos de actuación.

Sin este activo tan valioso, independientemente de su tamaño, una empresa no podría
funcionar. De manera paralela, cuando se habla de seguridad de la información,
normalmente el foco se pone en el ámbito empresarial.

No se puede perder de vista que toda información lleva asociados unos riesgos.
En este sentido puede definirse el riesgo como un efecto de incertidumbre sobre un
objetivo. Los riesgos pueden materializarse en amenazas que afecten a la seguridad de
la información de una empresa u organización.

04

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

Gobernanza, políticas y
objetivos de seguridad de la
01
información

Los datos sobre la ciberseguridad, en general, y la seguridad de la información, en

particular, brotan como manantiales en forma de secretos de estado revelados. Piratas
“buenos” que ayudan a las organizaciones a protegerse contra el crimen, normas ISO,
simposios, seminarios web, libros, expertos y gurús con cifras recién analizadas. ¿Esto se
debe a que el tema está de moda, a paranoia generalizada o a la tecnología que avanza
desbocada, mientras las leyes van quedando atrás? Aparentemente, no es tan fácil
asimilar que el mundo está interconectado, que los datos valen oro y que muchas vidas
y negocios pueden verse negativamente alcanzadas si no logramos mantener la
confidencialidad, integridad y disponibilidad de la información.

Como líder de una organización, ¿qué gano al invertir tiempo, dinero y esfuerzos
en seguridad de la información? Primero que todo, aclaremos que nuestro gobierno
organizacional requiere entender, supervisar y apoyar todo lo concerniente a este tema,
además de pautar un programa contentivo de prioridades y metas que sean coherentes con
la misión de la empresa. Este compromiso debe reflejarse en la aprobación de recursos y
el apoyo sostenido para lograr el éxito del programa. Un liderazgo fuerte es la base para
construir un sistema de gestión de la seguridad de la información (SGSI) robusto y eficaz. Esto
incluye una participación visible, acción, comunicación constante y privilegiar la seguridad de
la información (SI) en la agenda como un tema destacado. Se espera que el gobierno delegue
públicamente responsabilidades y autoridades que se encargará de la SI.

05

www.isotools.org
 Fundamentos de Gestión de
Seguridad de la Información

La seguridad de la información es más importante que nunca

El éxito de una compañía es inherente a trazarse objetivos de seguridad de la

información y cumplirlos. ¿Por qué? Porque la consecución de las metas planteadas
depende en gran medida de la información que emana la compañía, de clientes,
proveedores y demás partes interesadas, además de la tecnología. Entonces, ¿cómo no
sería importante proteger tal información? ¡Definitivamente es prioritario! La seguridad
de la información tiene que ser parte de la estrategia organizacional y de los procesos
y operaciones diarias, pues esto favorece a la continuidad del negocio aún en situaciones
poco favorables como desastres naturales y crisis de diversas índoles. La consecuencia
inevitable de esto es lograr la confianza de clientes y colaboradores, quienes percibirán
que nuestros esfuerzos se sostienen en la protección de la información sensible y que
los resguardamos responsablemente.

Cuando empleamos nuestros recursos en un SGSI, podemos hablar de que nuestra

inversión rinde frutos y de que la gestión financiera llevada a cabo es eficaz, puesto que no
se dedican ni tiempo ni dinero en reparar desastres como la fuga de informaciones
y demás incidentes indeseados.

En estos tiempos de e-commerce efervescente, la seguridad de la información

potencia la capacidad de brindar productos y servicios de forma eficaz, en vista de
que los datos confidenciales resultan salvaguardados y se cumplirían los requisitos de
los clientes más exigentes a la vez que se cuida la información propia.

En última instancia, es relevante señalar que la responsabilidad de crear una política

de SI y crear y cumplir objetivos de SI pertenece a los líderes, es decir, al gobierno
corporativo. En ellos recae la tarea de garantizar la SI para cumplir con la misión de la
organización y aumentar el valor para la empresa.

06

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

La SI y sus objetivos

¿Conoce en qué punto está la seguridad de la información en su organización

y dónde le gustaría estar? Una forma efectiva de hacerlo puede ser evaluando si se
cumplen -y hasta qué punto– las leyes sobre seguridad, reglamentos y normas como la
ISO/IEC 27001. También es imprescindible conocer cuáles son los riesgos y amenazas
que acechan a la empresa, y en función de eso trazar objetivos que apunten a lograr
la confidencialidad, integridad y disponibilidad de la información. De cada objetivo deben
desprenderse controles capaces de gestionar los riesgos. ¿Cuál podría ser el objetivo más
relevante? Aunque parezca obvio, lo vital es proteger a la organización y su capacidad
para llevar a cabo su misión. No exageramos al afirmar que la pérdida de conectividad
a internet, la denegación de servicios, apagones, incendios o terremotos pueden atentar
contra la disponibilidad de información clave, y así sería imposible cumplir con la misión
de la compañía. Los objetivos no son inamovibles, sino que varían o se actualizan en caso
de que la misión de la empresa cambie, existan nuevos requisitos operativos o surjan
otros riesgos. Los cambios muchas veces pueden ser impredecibles y necesitamos ser
tan flexibles como podamos.

07

www.isotools.org
 Fundamentos de Gestión de
Seguridad de la Información

Una política que construya

Las reglas de seguridad que rigen el comportamiento esperado de una entidad, es

lo que se conoce como política de SI. Con este texto damos a conocer las directivas,
reglamentos, normas y prácticas que señalan la forma en que la empresa gestiona,
protege, almacena y distribuye la información. No es fácil diseñar un corpus como el que
indicamos, pero es tarea de la gerencia decidir hacia dónde se destinarán los recursos,
indicarles a los empleados cómo deben comportarse con relación a la SI y qué se espera
de ellos, jerarquizar objetivos y llevar todo esto a la práctica. Para apoyar su labor, le
indicamos qué debería tener una política de seguridad de la información:

• Propósito. En este apartado se describen las metas que se desean alcanzar y

necesidades relacionadas con la seguridad, como la integridad, la disponibilidad y la
confidencialidad de la información.

• Alcance. Las políticas no deben dejar cabos sueltos en cuanto a qué equipos, procesos
y/o sistemas se prevé proteger.

• Responsabilidades. Los involucrados requieren ser identificados con nombres y

apellidos para que las gestiones se hagan de forma efectiva y conozcamos quién se
encargará de cada cosa.

• Sanciones. Para que no quepan dudas de que el tema es serio, es necesario que existan
acciones disciplinarias y que sean aplicadas a quienes vulneren la política.

08

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

Planificación y recursos
necesarios en seguridad de la
02
información

La planificación es el paso inicial que damos en una organización para poder

enfilar la estrategia de defensa de la empresa. Nos permite enfocar esfuerzos en
lo verdaderamente importante, ayuda a establecer pautas para usar adecuadamente
los recursos y saber si se está logrando lo que se desea o no, gracias a un posterior
seguimiento. El proceso de planificación estratégica puede recaer en la máxima
autoridad de la compañía o en un equipo designado. Dentro de sus funciones están:

• Diagnosticar el entorno nacional, sectorial o institucional, que incluya el entendimiento

estratégico de la arquitectura empresarial, dinámica organizacional y análisis del
desempeño estratégico.

• Identificar las metas u objetivos a alcanzar.

• Formular estrategias para lograr las metas.

• Organizar y/o crear los medios necesarios para concretar la consecución de los
objetivos planteados.

• Desarrollar una estrategia alineada con los objetivos estratégicos.

09

www.isotools.org
 Fundamentos de Gestión de
Seguridad de la Información

• Implementar, dirigir y supervisar todos los pasos en su secuencia adecuada.

• Definir políticas e iniciativas estratégicas de TI y del portafolio de proyectos.

• Apoyar el intercambio de información entre los funcionarios encargados de la

autorización y otros líderes de alto nivel dentro de la organización.

• Supervisar las actividades relacionadas con la planificación estratégica en toda la

organización.

• Incluir políticas, procesos, recursos, gestión del talento y proveedores, compras,

calidad, instancias de decisión, estructura organizacional e indicadores de TI.

Asegurar que las necesidades de recursos materiales, tecnológicos, financieros

y humanos para la planificación se cubren de manera adecuada incrementan la
probabilidad de la materialización de éxito de lo planeado.

¿Es necesario planificar en el área de seguridad de la información?

¡Por supuesto que sí! La planificación es una función básica de gestión que implica
la formulación de uno o más planes detallados para lograr un equilibrio óptimo de
necesidades o demandas con los recursos disponibles.

Además, la función de la planificación en SI:

• Ayuda a asegurar que una organización siga siendo relevante y responda a las
necesidades de SI de su comunidad, contribuyendo a la estabilidad y el crecimiento
de la organización al garantizar la disponibilidad, confidencialidad y disponibilidad de
la información.

10

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

• Proporciona una base para monitorear el progreso y evaluar los resultados e impactos.

• Facilita el desarrollo de nuevos programas.

• Permite a una organización mirar hacia el futuro de manera ordenada y sistemática.

Desde una perspectiva de gobernanza, permite que la junta establezca políticas y
metas para guiar a la organización y proporciona un enfoque claro al director ejecutivo
y al personal para la implementación del programa y la gestión de la empresa.

¿En qué punto interviene la estrategia?

La gestión estratégica es la colección integral de actividades y procesos en curso

que las organizaciones utilizan para coordinar y alinear sistemáticamente los recursos y
las acciones con la misión, la visión y la estrategia en toda la organización. Las actividades
de gestión estratégica transforman el plan estático en un sistema que proporciona
retroalimentación del desempeño estratégico para la toma de decisiones y permite que
este evolucione y crezca a medida que cambian los requisitos y otras circunstancias.

La estrategia es importante porque los recursos disponibles para lograr los

objetivos suelen ser limitados. La estrategia, generalmente, implica establecer metas,
determinar acciones para lograrlas y movilizar recursos para ejecutar las acciones. Una
estrategia describe cómo se lograrán los fines o metas a través de los medios o recursos.
Esto generalmente se encarga de determinar la estrategia. La estrategia puede ser
intencionada o puede surgir como un patrón de actividad a medida que la organización
se adapta a su entorno o compite. Implica actividades como la planificación estratégica
y el pensamiento estratégico.

11

www.isotools.org
 Fundamentos de Gestión de
Seguridad de la Información

Cuestión de recursos

La estrategia es la forma en que una empresa define su negocio y vincula los

únicos recursos que realmente importan en la economía actual: el conocimiento y las
relaciones o las competencias y los clientes de una organización.

Si nos ceñimos al terreno de lo concreto, señalaremos que los recursos necesarios en

seguridad de la información son: materiales (infraestructura, escritorios, oficinas y
herramientas, entre otros), tecnológicos (ordenadores y demás dispositivos, software,
internet, bases de datos y monitores, por ejemplo) financieros (divisas en monedas
extranjeras, dinero, créditos bancarios y depósitos) y humanos. La gerencia asigna
continuamente los recursos a las iniciativas que deben priorizarse.

Consideramos que el presupuesto debe estar en sintonía con los riesgos a los
que se expone la organización y con las características de la tecnología. Es muy
importante disponer de personas dentro de la empresa que atiendan o gestionen el
sistema de gestión de seguridad de la información, puesto que esos deberes requieren
una dedicación considerable.

12

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

Ingeniería en seguridad de
la información, definiendo
03
requisitos técnicos

La información circula a grandes velocidades a través de todos los dispositivos de

tecnología. Detrás de los programas, servidores y equipos en que las organizaciones
almacenan datos sobre empleados, clientes, proveedores, fórmulas de productos y
directrices para prestar servicios, existen profesionales que hacen todo lo posible
por resguardar los datos. Nos referimos a los ingenieros en seguridad de la información,
quienes se ocupan, entre otras cosas, de establecer las políticas, normas y protocolos
para gestionar los riesgos de brechas de información en las organizaciones. Ellos se
esfuerzan para abordar muchos aspectos de la seguridad de la información en decenas
de niveles de detalle. Abordan aspectos tecnológicos y operativos, y se esmeran en
llevar a cabo buenas prácticas organizacionales. En pocas palabras, se hacen cargo
de buena parte de esta nueva forma de hacer negocios y de relacionarse.

Para estandarizar sus quehaceres y conferir eficacia a la labor ingenieril, los expertos
crearon los principios de seguridad de la información, con el fin cumplir con
requisitos técnicos, operativos y garantizar las propiedades de la información. Con
el propósito de crear un sistema más seguro, también se consideran asuntos no técnicos
como políticas, procedimientos operativos, educación y formación de usuarios.

13

www.isotools.org
 Fundamentos de Gestión de
Seguridad de la Información

Los principios sirven como guía para los usuarios, al desarrollar y evaluar requisitos
funcionales; diseñadores e ingenieros, al diseñar, implementar o modificar un sistema
de información; especialistas en TI, durante todas las fases del ciclo de vida del
sistema; gerentes de programa y oficiales de seguridad del sistema de información.
Aunque no todos los principios pueden aplicarse a todos los sistemas, es importante
considerarlos cuidadosamente a lo largo del ciclo de vida de cada sistema. Los principios
son los siguientes:

• Establecer una sólida política de seguridad como base para el

diseño del sistema de gestión. La política de seguridad comienza
con el compromiso básico sobre seguridad de la información
de la organización, formulada como una
declaración de política general. Luego, la
política se aplica a todos los aspectos del
diseño del sistema o solución de seguridad. La
política identifica objetivos de seguridad (como
confidencialidad, integridad, disponibilidad
y rendición de cuentas, entre otros) que el
sistema debe respaldar, y estos objetivos guían
los procedimientos, estándares y controles
utilizados en la arquitectura de seguridad de TI.
La política también debe requerir la definición
de activos críticos, las amenazas percibidas y
funciones y responsabilidades relacionadas
con la seguridad.

• Tratar la seguridad como parte integral del

diseño general del sistema. La seguridad
debe ser considerada en el diseño del sistema
de información. La experiencia ha demostrado
que es difícil y costoso implementar medidas de

14

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

seguridad de manera adecuada y exitosa después de que se ha desarrollado el sistema,

por lo que debe integrarse completamente en el proceso del ciclo de vida de este.
Ello incluye establecer políticas de seguridad, comprender los requisitos de seguridad
resultantes, participar en la evaluación de productos de seguridad, en la ingeniería,
diseño, implementación y disposición del sistema.

• Delinear claramente los límites de seguridad físicos y lógicos regidos por políticas
de seguridad asociadas. La tecnología de la información existe en ubicaciones
físicas y lógicas, y existen límites entre estos lugares. Una comprensión de lo que
debe protegerse de factores externos pueden ayudar a garantizar que se apliquen
las medidas de protección adecuadas donde sean más eficaces. A veces, un límite
se define por las personas, la información y la tecnología de la información asociada
con una ubicación física. Pero esto ignora la realidad de que, dentro de un solo lugar,
pueden existir diferentes políticas de seguridad, algunas que cubren información
de acceso público y algunas abarcan información confidencial no clasificada. Para
complicar aún más el asunto, muchas veces una sola máquina o el servidor puede
albergar información confidencial no clasificada y de acceso público. Como resultado,
se pueden aplicar múltiples políticas de seguridad a una sola máquina o dentro de
un solo sistema. Por lo tanto, al desarrollar un sistema de información, los límites de
seguridad deben ser considerados y comunicados en la documentación relevante del
sistema y en las políticas de seguridad.

• Reducir el riesgo a un nivel aceptable. El riesgo se define como la combinación

de la probabilidad de que una amenaza particular explote intencionalmente o se
active involuntariamente, causando un impacto adverso en las operaciones de la
organización, activos, o individuos. Anteriormente, la evitación de riesgos era un
objetivo común de seguridad de TI. Eso cambió a medida que se entendió mejor la
naturaleza del riesgo. Hoy en día se reconoce que la eliminación de todos los riesgos
no es rentable. Un análisis de costo-beneficio debe llevarse a cabo para cada control
propuesto, porque puede que el sistema no justifique los costos directos e indirectos.

15

www.isotools.org
 Fundamentos de Gestión de
Seguridad de la Información

Los beneficios incluyen más que solo prevención de pérdida de dinero. Por ejemplo,
los controles pueden ser esenciales para mantener la confianza pública. Los costos
directos incluyen el costo de comprar e instalar una determinada tecnología. Los
costos indirectos incluyen un menor rendimiento del sistema y capacitación adicional.
La meta es mejorar las capacidades de la misión/negocio, mitigando su riesgo a un
nivel aceptable.

16

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

Cumplimiento legal en
materia de SI. ¿Qué debe
04
tener en cuenta?

Evitar sanciones por quebrantar leyes no es la única razón para cumplir con los
reglamentos y legislaciones en materia de seguridad de la información. Observar el
entramado legal propicia una actitud transparente de la organización frente a diferentes
partes interesadas, promueve la aplicación efectiva del sistema de gestión de seguridad
de la información, da un marco de referencia para verificar el cumplimiento de las
regulaciones en materia de SI y apoya el mejor desempeño de la organización, entre
otros. Además, los ciudadanos cada día son más conscientes de la necesidad de preservar
la confidencialidad, integridad y disponibilidad de la información, por ello esperan que
las leyes respalden esa necesidad y evolucionen tan rápido como lo hace la tecnología.
También esperan consumir productos y servicios que provengan de organizaciones
capaces de cumplir con la ley.

Para lograr el cumplimiento de los requisitos legales requerimos activar un proceso

que comprende de varios pasos:

• Identificar los requisitos legales. Necesitamos contar con una metodología establecida
para poder identificar cada requisito. Es importante investigar las leyes y regulaciones
emitidas por los gobiernos regionales, nacionales, federales, estatales o locales. Luego
requerimos leerlos, entenderlos, buscar el apoyo experto de personal calificado y
mantenernos al tanto de los cambios, obligaciones o reglas divulgadas en medios oficiales.

17

www.isotools.org
 Fundamentos de Gestión de
Seguridad de la Información

• Establecer controles. ¿Ya los directivos y/o responsables

identificaron toda la legislación aplicable a sus organizaciones
para cumplir con los requisitos de su tipo de negocio? ¡Perfecto!
Ahora es pertinente que se definan controles puntuales y
se fijen responsabilidades individuales para cumplir estos
requisitos.

• Documentar controles. Los controles aplicables a los

procesos, productos y servicios de la organización ameritan
ser plasmados como información documentada. Hay que tener
en cuenta que los requisitos pueden generar riesgos, cuando
no sabemos cómo abordarlos o no se abordan oportunamente,
y oportunidades, cuando se incorporan los requisitos legales a
la línea de negocios como elementos diferenciadores, para la
organización.

• Incluir y determinar en el alcance del SGSI los aspectos

legales de las actividades, productos y servicios que debemos
controlar.

• Demostrar capacidad y voluntad para cumplir los requisitos

legales ante clientes internos y externos y partes interesadas.

• Mejora continua.

18

isotools.us
 Fundamentos de Gestión de
Seguridad de la Información

Requisitos de diferentes tipos

Los requisitos legales se usan como entradas de proceso y su seguimiento se considera

una salida de estos procesos. Por eso es imperativo tener en cuenta los cambios que
se produzcan en la organización, en cuanto a procesos, productos y servicios, y las
legislaciones que se modifiquen o entren en vigor. Con esto no nos referimos únicamente
a la Constitución del país en que la empresa mantiene operaciones, Código Penal, leyes,
normas y decretos. También cuentan las licencias u autorizaciones, orientaciones,
órdenes, reglas, sentencias de cortes de justicia o tribunales administrativos, requisitos
de las partes interesadas relacionados con sus propios SGSI y que deberíamos cumplir
o adoptar, acuerdos con comunidades y organismos públicos o clientes, requisitos de
socios o accionistas, principios o códigos de cumplimiento voluntarios, obligaciones
contractuales, normas atinentes a la industria y/u organización.

En Latinoamérica es moneda corriente el desfase entre las leyes en materia de

seguridad de la información y el uso y manejo de información. Por lo tanto, hay
delitos que no son reconocidos como tal y no son sancionados. En ese sentido es posible
suscribir protocolos propios e implementar estándares internacionales como la norma
ISO/IEC 27001. Es aconsejable, además, mantenerse atentos ante la promulgación de
decretos y la creación de disposiciones emitidas por reguladores.

Otros aspectos por considerar

A la hora de pensar en el cumplimiento legal no podemos omitir la existencia de

condiciones anormales y situaciones de emergencia, como las que supuso el SARS
COVID. Tras la pandemia surgieron normativas para regular, entre otras cosas, el
teletrabajo y el acceso a los datos sensibles. Incluso hubo debates éticos sobre qué tan
conveniente era divulgar al círculo cercano cuando una persona resultara contagiada.

19

www.isotools.org
 Fundamentos de Gestión de
Seguridad de la Información

En otro orden de ideas, destacamos la relevancia de la gestión de los procesos de SI

internos y la identificación de aspectos de SI. Sin ello el cumplimiento legal no estaría
completo, puesto que muchos de los requisitos están relacionados con aspectos de la
seguridad de la información. Todos los requisitos deben ser tomados en cuenta cuando
se establezca, implemente, mantenga y mejore continuamente el SGSI. Por último,
consideramos que es imprescindible que desde la alta dirección se manifieste la
firme voluntad de cumplir con los requisitos de SI en materia legal y recomendamos
la estandarización, pues esta respalda los requisitos legales.

20

isotools.us
La gestión de la Seguridad de la Información,
más ágil que nunca

El Software ISOTools para ISO 27001 puede convertirse

en su mejor aliado en el interior de la organización.
Con él reducirá los tiempos y costos dedicados a la
implementación y mantenimiento de la ISO 27001:2013.
Además, minimizará riesgos y evitará sanciones al
simplificar la documentación y los registros.

Si quiere ahorrar recursos gestionando únicamente

los riesgos que realmente amenazan a su organización,
solicite más información acerca de la herramienta
tecnológica ISOTools sin ningún tipo de compromiso.

QUIERO SABER MÁS SOBRE

GESTIÓN EN S.I. CON ISOTOOLS
Calle Villnius,
P.I. Tecnocórdoba,
Parcela 6-11 Nave H,
14014 Córdoba
isotools.us