Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea.

Importancia de un SGSI para empresas de tecnología 1

IMPORTANCIA DE UN SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA EMPRESAS DE
TECNOLOGÍA
Pérez Pira, Brigitte Andrea
bandreapp@[Link]
Universidad Piloto de Colombia

Resumen— Siendo considerada la información como un I. INTRODUCCIÓN

activo de gran valor, las compañías del sector de la Cada compañía al ser constituida define el sector al cual
tecnología han venido dando relevancia a su manejo y se va a enfocar su negocio y la gran mayoría no ven la
protección, contemplando las implicaciones a las que información como un activo y no le dan la importancia ni el
conlleva no tenerlo en cuenta. Es por ello que resulta adecuado manejo. Por lo tanto, no perciben los riesgos que
necesario en la mayoría de los casos, diseñar e implementar existen debido a cambios frecuentes sobre los recursos
un Sistema de Gestión de Seguridad de la Información, por
tecnológicos en el mundo y si no se maneja un modelo o
medio del cual se establezcan políticas y buenas prácticas
enfoque de seguridad informática en las empresas el riesgo
que garanticen el buen uso y la protección de la información,
es totalmente alto a la hora de crear o diseñar empresas
teniendo en cuenta las directrices proporcionadas por la
competitivas en el mercado.
norma ISO 27001:2013, la cual establece una serie de
controles como base para cumplir con dicho objetivo.
En la actualidad la información de una organización y
sobre todo si pertenece al sector tecnológico, es considerada
Abstract— Being information considered as an asset of el activo más relevante, de allí la necesidad de ser protegida
great value, companies in the technology sector have been frente a los diferentes riesgos a los que se puede exponer. Es
giving relevance to its management and protection, por ello que se vuelve fundamental considerar el diseño e
contemplating the implications that entails not taking it into implementación de un sistema de gestión de seguridad de la
account. That is why it is necessary in most cases, to design información (SGSI) como una opción acertada cuando se
and implement an Information Security Management trata de proteger el conjunto de datos de la compañía y
System, through which policies and good practices are garantizar la continuidad del negocio.
established that guarantee the good use and protection of
information, taking into account It has the guidelines Para iniciar con un sistema de gestión de seguridad de la
provided by the ISO 27001:2013 standard, which establishes información, las compañías tecnológicas deben ser
a series of controls as the basis for meeting that objective. consientes de la importancia que tiene la información en su
negocio, identificar los riesgos a los que se encuentra
expuesta y de esta manera determinar esfuerzos, recursos,
Índice de Términos— Sistema de Gestión de Seguridad controles y presupuesto, de manera que se garantice su
de la Información (SGSI), integridad, confidencialidad, protección.
disponibilidad, gestión de riesgos.
En este artículo se abordan a grandes rasgos los conceptos
que deberían tomarse en consideración en una compañía de
tecnología con relación a un sistema de Gestión de
Seguridad de la Información con base en la norma ISO
27001:2013, destacando su importancia y el objetivo por el
cual debería ser implementado.

Importancia de un SGSI para empresas de tecnología

Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 2

II. SEGURIDAD DE LA INFORMACIÓN aprovechando cualquiera de las vulnerabilidades existentes,

La seguridad de la información tiene como propósito la pueden someter a activos críticos de información a diversas
protección de los datos e información de acontecimientos o formas de fraude, espionaje, sabotaje o vandalismo. Los virus
amenazas que atente contra su integridad y ciclo de vida. informáticos, el “hacking” o los ataques de denegación de
servicio son algunos ejemplos comunes y conocidos, pero
En una organización, es un proceso de mejora continua que también se deben considerar los riesgos de sufrir incidentes de
requiere la participación activa de toda la organización y busca seguridad causados voluntaria o involuntariamente desde
preservar, entre otros, los siguientes principios de la dentro de la propia organización o aquellos provocados
información [1]: accidentalmente por catástrofes naturales y fallos técnicos.
A. Confidencialidad El Sistema de Gestión de la Seguridad de la Información
Asegura que solo las personas debidamente autorizadas (SGSI) ayuda a establecer políticas y procedimientos en
tengan acceso a la información, nadie más. relación a los objetivos de negocio de la organización, con
objeto de mantener un nivel de exposición siempre menor al
B. Disponibilidad nivel de riesgo que la propia organización ha decidido asumir.
Asegura que la información esté totalmente disponible para Con un SGSI, la organización conoce los riesgos a los que está
las personas autorizadas cuando se requiera. sometida su información y los asume, minimiza, transfiere o
controla mediante una sistemática definida, documentada y
C. Integridad conocida por todos, que se revisa y mejora constantemente.
Asegura que la información no sea modificada sin la debida
autorización.

D. Autenticidad IV. ESTRUCTURA DE LA NORMA ISO 27001:2013

Con el propósito de garantizar la identidad de la persona que La norma para esta versión se encuentra estructurada de la
genera la información, es la capacidad de asegurar que el siguiente manera [4]:
emisor de la información es quien dice ser y no un tercero que
esté intentando suplantarlo. 0) Introducción
Explica el objetivo de ISO 27001 y su compatibilidad con
E. No repudio otras normas de gestión.
Tiene el propósito de conocer exactamente quienes son los
actores que participan en una transacción o una comunicación 1) Alcance
y no pueden negarlo en ningún momento. El no repudio evita Establece como obligatorio el cumplimiento de los
que el emisor o el receptor nieguen la transmisión de un requisitos especificados entre los capítulos 4 a 10 de dicho
mensaje. documento, para poder obtener una conformidad de
cumplimiento y así poder certificase.
F. Trazabilidad
Tiene el objetivo de poder monitorear o rastrear cualquier 2) Referencias normativas
operación que se realiza sobre la información desde su mismo Hace referencia a la norma ISO/IEC 27000 como estándar
origen. en el que se proporcionan términos y definiciones.

3) Términos y definiciones
Guía consistente de términos.
III. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
4) Contexto de la organización
Para entender el contexto de un SGSI, se debe comenzar por En esta sección se identifican todos los problemas externos e
familiarizarse con la definición de información, la cual se internos que rodean a la empresa. Se define el contexto del
entiende como un conjunto de datos organizados en poder de SGSI y su alcance, de acuerdo a las necesidades de las partes
una entidad y que poseen valor para esta, independientemente interesadas y los requisitos de la organización, para determinar
de su origen, destino, almacenamiento y transmisión [2]. posteriormente las políticas de Seguridad de la Información y
Para garantizar que la información esté gestionada todos los objetivos a seguir para el proceso de gestión de
correctamente se debe hacer uso de un proceso sistemático y riesgos.
documentado que se conoce como un Sistema de Gestión de la
Seguridad de la Información. 5) Liderazgo
Esta sección define las responsabilidades de la dirección con
Las organizaciones y sus sistemas de información están respecto al SGSI, se establecen roles y responsabilidades y el
expuestos a un número cada vez más elevado de amenazas que

Importancia de un SGSI para empresas de tecnología

Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 3

contenido de la política de alto nivel sobre seguridad de la  Enfoque de evaluación de riesgos: es la descripción de
información. la metodología que se va a emplear, en donde se indica
cómo se va a realizar la evaluación de las amenazas,
6) Planeación vulnerabilidades, probabilidades de ocurrencia e
Esta sección define los requerimientos para la evaluación de impactos en relación a los activos de información que
riesgos, el tratamiento de riesgos, la Declaración de fueron establecidos en el alcance del SGSI. Además
aplicabilidad, el plan de tratamiento de riesgos y la define criterios de niveles de riesgo aceptables.
determinación de los objetivos de seguridad de la información.
 Informe de evaluación de riesgos: estudio resultante
7) Soporte luego de aplicar la metodología de evaluación
Define los recursos, personal competente, conciencia y mencionada en el punto anterior, a los activos de
comunicación de todas las partes interesadas, establece el información de la organización.
proceso de documentar, mantener, controlar y conservar la
documentación y los registros que corresponden al SGSI.  Plan de tratamiento de riesgos: documento que
identifica las acciones de la dirección, los recursos, las
8) Operación responsabilidades y las prioridades para gestionar los
Establece todos los requisitos para medir el funcionamiento riesgos de seguridad de la información, en función de
del SGSI, se define la implementación de la evaluación y el las conclusiones obtenidas de la evaluación de riesgos,
tratamiento de riesgos, como también los controles y demás de los objetivos de control identificados, de los recursos
procesos necesarios para cumplir los objetivos de seguridad de disponibles, etc.
la información.
 Procedimientos documentados: todos los necesarios
9) Evaluación del desempeño para asegurar la planificación, operación y control de
Define los requerimientos para monitoreo, medición, los procesos de seguridad de la información, así como
análisis, evaluación, auditoría interna y revisión por parte de la para la medida de la eficacia de los controles
dirección. implantados.

10) Mejora  Registros: documentos que proporcionan evidencias de

Define los requerimientos para el tratamiento de no la conformidad con los requisitos y del funcionamiento
conformidades, correcciones, medidas correctivas y mejora eficaz del SGSI.
continua.
 Declaración de aplicabilidad: documento que contiene
Adicionalmente, la norma contiene el Anexo A que los objetivos de control y los controles contemplados
proporciona 114 controles (medidas de seguridad). por el SGSI, basado en los resultados de los procesos de
evaluación y tratamiento de riesgos, justificando
inclusiones y exclusiones.
V. DOCUMENTACIÓN DEL SGSI
La norma ISO 27001:2013 indica que un SGSI debe tener
los siguientes documentos, almacenados en cualquier medio o VI. POLÍTICA DE SEGURIDAD DEL SGSI
en cualquier formato [2]: Entre la documentación del SGSI, como se menciona en
el punto anterior, se encuentra la Política de Seguridad de la
 Alcance de SGSI: define los límites del SGSI, entre Información. Este documento es fundamental ya que aborda
ellos los procesos, áreas, sistemas, tareas, etc., que la necesidad de la implementación de un SGSI planteado
estarán involucrados. desde la descripción del quién, qué, por qué, cuándo y
cómo, en torno al desarrollo de la implementación del SGSI
 Política y objetivos de seguridad: documentos de [3].
contenido genérico que establecen el compromiso de la La política debe tener en cuenta el marco general del
dirección y el enfoque de la organización en la gestión funcionamiento de la compañía, establecer unos objetivos de
de la seguridad de la información. seguridad alineados con el negocio, un alcance, definir
responsables y el comportamiento del personal o
 Procedimientos y mecanismos de control que soportan profesionales ya sean internos o terceros, frente al manejo
al SGSI: son los procedimientos que regulan el de los activos de información y de la información misma.
funcionamiento del SGSI. Dentro de la política de seguridad de la información se
pueden definir unas políticas específicas para dar

Importancia de un SGSI para empresas de tecnología

Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 4

cumplimiento a los objetos establecidos. Para implementar políticas, la obligatoriedad de su cumplimiento y la ubicación
esas políticas de seguridad de información, se deben seguir física de tal documento o documentos, para que sean
las siguientes fases: consultados en el momento que se requieran.

1) Desarrollo de las políticas 4) Monitoreo

En esta fase se deben determinar las áreas responsables de la Es importante que las políticas sean monitoreadas para
creación, estructura, revisión y aprobación de la política. Para determinar la efectividad y cumplimiento de las mismas, deben
ello se requieren las actividades de verificación e investigación crearse mecanismos ejemplo indicadores para verificar de
de los siguientes aspectos: forma periódica y con evidencias que la política funciona y si
debe o no ajustarse.
 Justificación de la creación de política: Debe
identificarse la razón por la cual se necesita la creación 5) Mantenimiento
de la política de seguridad de la información y Esta fase es la encargada de asegurar que la política se
determinar el control al cual hace referencia su encuentra actualizada, integra y que contiene los ajustes
implementación. necesarios y obtenidos de las retroalimentaciones.

 Alcance: Se debe determinar para quienes (población, 6) Retiro

áreas, procesos o departamentos) aplica la política. Fase mediante la cual se hace eliminación de una política de
seguridad en cuanto esta ha cumplido su finalidad o la política
 Roles y Responsabilidades: Se debe definir los ya no es necesaria en la Entidad. Esta es la última fase para
responsables y los roles para la implementación, completar el ciclo de vida de las políticas de seguridad y
aplicación, seguimiento y autorizaciones de la política. requiere que este retiro sea documentado con el objetivo de
tener referencias y antecedentes sobre el tema.
 Revisión de la política: Es la actividad en donde una vez
redactada la política, pasa a ser evaluada por parte de Adicionalmente, para la correcta redacción de la política de
otros individuos que evalúen la aplicabilidad, la seguridad, en el artículo del Mintic [3] se realizan las
redacción y se realizan sugerencias sobre el desarrollo y siguientes recomendaciones:
creación de la misma.
 La política debe tener como parte de su texto la
 Aprobación de la Política: Se debe determinar al declaración en la cual se indica ¿qué es lo que se desea
interior de la entidad la persona o rol de la alta dirección hacer?, ¿qué regula la política?, ¿cuál es la directriz que
que tiene la competencia de formalizar las políticas de deben seguir los funcionarios, contratistas y/o terceros?,
seguridad de la información mediante la firma y todo esto alineado con la estrategia de la organización.
publicación de las mismas. Es importante que la Alta
Gerencia de la Entidad muestre interés y apoyo en la  Debe alinearse con el alcance del SGSI
implementación de dichas políticas.
 Especificar a quien va dirigida la política y quien debe
2) Cumplimiento cumplirla.
Fase mediante la cual todas aquellas políticas escritas deben
estar implementadas y relacionadas a los controles de  Hacer referencia de la regulación que soporta la política,
seguridad de la Información, esto con el fin de que exista si aplica.
consistencia entre lo escrito en las políticas versus los controles
de seguridad implementados y documentados.  Indicar excepciones de la política, si aplica y para
quienes aplica.
3) Comunicación
Fase mediante la cual se da a conocer las políticas a los  Especificar el nombre, rol o responsable de quien
funcionarios, contratistas y/o terceros de la Entidad. Esta fase autoriza la política.
es muy importante toda vez que del conocimiento del
contenido de las políticas depende gran parte del cumplimiento  Dejar definido el proceso para realizar ajustes a la
de las mismas; esta fase de la implementación también política.
permitirá obtener retroalimentación de la efectividad de las
políticas, permitiendo así realizar excepciones, correcciones y  Argumentar las consecuencias que se pueden tener en
ajustes pertinentes. Todos los funcionarios contratistas y/o caso de incumplimiento a la política.
terceros de la entidad debe conocer la existencia de las

Importancia de un SGSI para empresas de tecnología

Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 5

 Establecer una fecha de inicio de vigencia de la política. Se define una declaración de aplicabilidad que incluya los
objetivos de control y controles seleccionados y los motivos
para su elección, los que actualmente ya están implantados y
VII. IMPLEMENTACIÓN DEL SGSI los del Anexo A excluidos incluyendo los motivos para su
Para establecer y gestionar un Sistema de Gestión de la exclusión.
Seguridad de la Información con base en la norma ISO 27001,
se utiliza el ciclo continuo PHVA [2]: B. Do (hacer): implementar y utilizar el SGSI.
Para este punto se define un plan de tratamiento de riesgos
que identifique las acciones, recursos, responsabilidades y
prioridades en la gestión de los riesgos de seguridad de la
información.
Se debe implantar el plan de tratamiento de riesgos, con el
fin de alcanzar los objetivos de control identificados,
incluyendo la asignación de recursos, responsabilidades y
prioridades.
Se debe implementar los controles anteriormente
seleccionados que lleven a los objetivos de control.
Se define un sistema de métricas que permita obtener
resultados reproducibles y comparables para medir la eficacia
de los controles o grupos de controles.
Fig. 1. Ciclo de Mejora Continua [2]
Se efectúan programas de formación y concienciación en
relación a la seguridad de la información a todo el personal.
A. Plan (planificar): establecer el SGSI. Se gestionar las operaciones del SGSI y los recursos
Dentro de este ítem, se establece el alcance del SGSI. necesarios asignados para su mantenimiento SGSI.
Se establece la política de seguridad, la cual debe contener el Se definen procedimientos y controles que permitan una
marco general y los objetivos de seguridad de la información, rápida detección y respuesta a los incidentes de seguridad.
los requerimientos legales y los criterios de evaluación del
riesgo. Debe estar alineada con el contexto estratégico de C. Check (verificar): monitorizar y revisar el SGSI.
gestión de riesgos de la organización y debe ser aprobada por En este punto la organización debe ejecutar procedimientos
la dirección. de monitorización y revisión para detectar a tiempo los errores
en los resultados generados por el procesamiento de la
Se define la metodología de evaluación de riesgo apropiada
información, identificar brechas e incidentes de seguridad,
para el SGSI y los requerimientos del negocio. Dicha
ayudar a la dirección a determinar si las actividades
metodología debe generar resultados medibles y comparables.
desarrolladas por las personas y dispositivos tecnológicos para
Se realiza la identificación de los riesgos. Para ello se garantizar la seguridad de la información se desarrollan en
identifican los activos de información y sus responsables, relación a lo previsto, detectar y prevenir eventos e incidentes
posteriormente, se identifican sus amenazas y vulnerabilidades de seguridad mediante el uso de indicadores y determinar si las
y por último, se identifican los impactos en la confidencialidad, acciones realizadas para resolver brechas de seguridad fueron
integridad y disponibilidad de los activos. efectivas.
Se debe analizar y evaluar los riesgos. Se evalúa el impacto La organización también debe revisar regularmente la
en el negocio ocasionado por un fallo de seguridad, su efectividad del SGSI, verificando el cumplimiento de la
probabilidad de ocurrencia en relación a las amenazas, política y objetivos establecidos, los resultados de auditorías de
vulnerabilidades, impactos en los activos y los controles que ya seguridad, incidentes, resultados de las mediciones de eficacia,
estén implementados, estimar los niveles de riesgo y sugerencias y observaciones de todas las partes implicadas;
determinar el tratamiento de los riesgos de acuerdo a los medir la efectividad de los controles para verificar que se
niveles de aceptación establecidos. cumple con los requisitos de seguridad; revisar regularmente
Se seleccionan los objetivos de control y los controles del en intervalos planificados las evaluaciones de riesgo, los
Anexo A de ISO 27001 para el tratamiento del riesgo que riesgos residuales y sus niveles aceptables, teniendo en cuenta
cumplan con los requerimientos identificados en el proceso de los posibles cambios que hayan podido producirse en la
evaluación del riesgo. organización, la tecnología, los objetivos y procesos de
Se debe aprobar por parte de la dirección tanto los riesgos negocio, las amenazas identificadas y la efectividad de los
residuales como la implantación y uso del SGSI. controles implementados; realizar periódicamente auditorías
internas del SGSI en intervalos planificados, actualizar los
Importancia de un SGSI para empresas de tecnología
Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 6

planes de seguridad en función de las conclusiones y nuevos

hallazgos encontrados durante las actividades de
monitorización y revisión, registrar acciones y eventos que
puedan haber impactado sobre la efectividad o el rendimiento
del SGSI.
La dirección debe revisar periódicamente el SGSI para
garantizar que el alcance definido sigue siendo el adecuado y
que las mejoras en los procesos son evidentes.

D. Act (actuar): mantener y mejorar el SGSI.

La organización debe ajustar el SGSI teniendo en cuenta las
mejoras identificadas. Además debe ejecutar las acciones
preventivas y correctivas adecuadas, comunicar las acciones y
mejoras a todas las partes interesadas con el nivel de detalle
adecuado y acordar, si es pertinente, la forma de proceder,
asegurarse que las mejoras introducidas alcanzan los objetivos
previstos.

VIII. GESTIÓN DE RIESGOS Fig. 2. Método de Evaluación y Tratamiento de Riesgo [5]

La gestión de riesgos es un elemento que hace parte del

SGSI y es clave para prevenir diferentes incidentes de
seguridad de la información tales como fraude, robo, desastres 1) Identificar los Activos de Información y sus
naturales, etc. Sin un marco de gestión de riesgos sólida, las responsables.
organizaciones se exponen a muchos tipos de amenazas Se entienden por activos todo aquello que tiene valor para la
informáticas [5]. organización, como infraestructura física (edificios o
De la misma manera que en todo el proceso del SGSI, equipamientos, salas de cómputo), recursos intelectuales o
durante la gestión de riesgos se debe contar con el compromiso informativos (ideas, aplicaciones, proyectos), la marca, la
de la alta dirección, ya que varios de los procesos dependen de reputación etc.
su aprobación y concurso para la toma de decisiones
2) Identificar las Vulnerabilidades de cada activo.
Para implantar un SGSI, se debe considerar como eje central
la evaluación de riesgos, la cual está orientada a determinar los Aquellas debilidades propias del activo que lo hacen
sistemas o activos de información que pueden verse afectados susceptible de sufrir ataques o daños.
directa o indirectamente por amenazas, valorando los riesgos y
estableciendo sus niveles a partir de las posibles amenazas, las 3) Identificar las amenazas.
vulnerabilidades existentes y el impacto que puedan causar a la Acontecimientos que podrían causar daños en el activo de la
entidad. Consiste en el proceso de comparación del riesgo información, tales como:
estimado con los criterios de riesgos establecidos, para así
determinar su importancia.  Accesos no autorizados, que se pueden generar por un
Para realizar el análisis de riesgos, se debe utilizar la ataque directo de hacking, una infección de malware o
metodología definida en el enfoque de evaluación de riesgos. una amenaza interna.
A continuación se explica la metodología definida por la
norma:  Uso indebido de la información por parte de un usuario
autorizado de la organización.

 Fuga de datos o exposición involuntaria de información.

Esto incluye permitir el uso de USB, discos duros no
cifrados o accesos sin restricciones. También es común
en prácticas deficientes de retención de documentos y
destrucción de papel; transmisión de información
personal no pública (NPPI) a través de canales no
seguros; o envío accidental de información sensible al
destinatario equivocado.

Importancia de un SGSI para empresas de tecnología

Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 7

 Pérdida de datos, se puede presentar como resultado de  Reducir el riesgo: Se consigue mediante la optimización
procesos de replicación de datos y copias de seguridad de los procedimientos y la implementación de controles
deficientes. tendientes a disminuir la frecuencia de ocurrencia y/o
minimizar la severidad de su impacto.
 Interrupción total de los servicios informáticos y
disminución de la productividad.  Eliminar el riesgo: Cuando se opta por suspender un
producto o proceso por una decisión administrativa.
 Desastres naturales. Inundaciones, huracanes,
terremotos, incendios y otros desastres naturales.  Transferir el riesgo: Actividades y medidas tendientes a
trasladar a un tercero la responsabilidad por el manejo
 Fallo del sistema. Fallas en los dispositivos de hardware del riesgo y/o la obligación por las consecuencias
o en las herramientas de software que se están financieras del riesgo, en caso de ocurrencia. Esta
utilizando. técnica no reduce la frecuencia ni el impacto, por el
contrario, involucra a otro en la responsabilidad, p. ej.,
 Interferencia humana accidental. Esta amenaza siempre compañías aseguradoras o proveedores de outsourcing.
es alta, sin importar en qué negocio se encuentre.
La necesidad de la actualización permanente del análisis de
 Suplantación. Es el uso indebido de las credenciales de riesgos estará determinada por las circunstancias siguientes:
otra persona.
1) los elementos que componen el sistema informático de la
4) Identificar los requisitos legales y contractuales. entidad están sometidos a constantes variaciones: cambios de
personal, nuevos locales, nuevas tecnologías, nuevas
Requisitos que la organización está obligada a cumplir con
aplicaciones, reestructuración de la organización, nuevos
sus clientes, socios o proveedores.
servicios, etc.
5) Identificar los riesgos.
2) La aparición de nuevas amenazas o la variación de la
Definir para cada activo, la probabilidad de que las probabilidad de ocurrencia de alguna de las existentes.
amenazas o las vulnerabilidades propias del activo puedan
causar un daño total o parcial al activo de la información, en 3) Pueden aparecer nuevas vulnerabilidades o variar o
relación a la disponibilidad, confidencialidad e integridad del incluso desaparecer alguna de las existentes, originando,
mismo modificando o eliminando posibles amenazas.

6) Cálculo del riesgo. Dependiendo del alcance y los objetivos de la gestión del
Este se realiza a partir de la probabilidad de ocurrencia del riesgo, se pueden aplicar diferentes enfoques pero debe ser
riesgo y el impacto que este tiene sobre la organización: adecuado y que contenga criterios como [6]:

Riesgo = impacto x probabilidad de la amenaza a) Criterios de evaluación del riesgo.

Desarrollar criterios para la evaluación del riesgo con el fin
De esta manera se determinan los riesgos que deben ser de determinar el riesgo en la seguridad de la información de la
controlados con prioridad. organización teniendo en cuenta los siguientes aspectos:

7) Plan de tratamiento del riesgo.  El valor estratégico del proceso o del activo de
Se define la política de tratamiento de los riesgos en función información para la entidad.
de los puntos anteriores y de la política definida por la
dirección. En este punto, es donde se seleccionan los controles  La criticidad de los activos de información involucrados
adecuados para cada riesgo, los cuales irán orientados a: en el proceso.

 Asumir el riesgo: Siempre y cuando se siga cumpliendo  Los requisitos legales y reglamentarios, así como las
con las políticas y criterios establecidos para la obligaciones contractuales.
aceptación de los riesgos, se acepta el riesgo en razón a
que los retornos potenciales son atractivos en relación  La importancia de la disponibilidad, confidencialidad e
con los riesgos involucrados. integridad de la información para las operaciones y la
entidad.

Importancia de un SGSI para empresas de tecnología

Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 8

 Las expectativas y percepciones de las partes ejemplo se puede aceptar un riesgo si existe aprobación
interesadas y las consecuencias negativas para el buen y compromiso para ejecutar acciones que reduzcan
nombre y la reputación de la entidad. dicho riesgo hasta un nivel aceptable en un periodo
definido de tiempo.
b) Criterios de impacto.
Desarrollar criterios de impacto del riesgo y especificarlos Una vez que haya desarrollado un plan de gestión de riesgos,
en términos del grado de daño o de los costos para la entidad, puede realizar un análisis de impacto comercial para evaluar el
causados por un evento de seguridad de la información, impacto probable de estos riesgos en sus operaciones
considerando los siguientes aspectos: comerciales. Este es el paso de preparación en el modelo de
prevención, preparación, respuesta y recuperación (PPRR) para
 Nivel de clasificación de los activos de información. desarrollar un plan de continuidad comercial.

 Brechas en la seguridad de la información, que afecte

los principios de la información. IX. GESTIÓN DE CONTINUIDAD DEL NEGOCIO
Cuando una organización implanta la norma ISO
 Operaciones deterioradas. 27001:2013 lo que quiere conseguir es reducir sus riesgos y
evitar posibles incidentes de seguridad. Sin embargo, no es
 Perdida del negocio y del valor financiero. posible proteger cien por ciento los activos de información, ya
que pueden ocurrir situaciones que no se pueden controlar,
 Alteración de planes y fechas límites. tales como fallas eléctricas, incendios, inundaciones,
catástrofes, etc. Por lo tanto, las empresas deben tomar
 Daños para la reputación. medidas para evitar que se vean interrumpidas sus actividades
[7].
 Incumplimiento de los requisitos legales. Para evitar dichas situaciones es necesario disponer de un
Plan de Continuidad del Negocio.
Este plan es la respuesta prevista por la empresa ante
c) Criterios de aceptación del riesgo. aquellas situaciones de riesgo que le pueden afectar de forma
Se deben desarrollar y especificar criterios de aceptación del crítica. Su objetivo es impedir que la actividad de la empresa
riesgo. Estos criterios dependen de las políticas, metas, se interrumpa y de no poderse evitar, el tiempo de recuperación
objetivos de la organización y de las partes interesadas. debe ser el mínimo posible.
La organización debe definir los niveles de aceptación del Cuando se desarrolla un Plan de Continuidad del Negocio se
riesgo y durante el desarrollo, se deberían considerar los debe tener en cuenta que contenga los siguientes apartados:
siguientes aspectos:
 Establecimiento y definición de las situaciones críticas.
 Los criterios de aceptación del riesgo pueden incluir Para ello se han de identificar entre los riesgos
umbrales múltiples con una meta de nivel de riesgo analizados, aquellos que no podrán ser evitados a través
deseable, pero con disposiciones para que la alta de las diversas medidas implantadas.
dirección acepte los riesgos por encima de este nivel, en
circunstancias definidas.  Establecimiento de un Comité de Emergencia que será
el encargado de gestionar la situación de crisis ante una
 Los criterios de aceptación del riesgo se pueden incidencia. Es el responsable de organizar al resto del
expresar como la relación entre el beneficio estimado y personal y de que la empresa pueda recuperarse de un
el riesgo estimado incidente.

 Los diferentes criterios de aceptación del riesgo pueden  Definición de las diversas situaciones posibles,
aplicar a diferentes clases de riesgos, por ejemplo los elaborando procedimientos para cada una de las
riesgos que podrían resultar en incumplimiento con incidencias que se podrían dar en una organización.
reglamentos o leyes podrían no ser aceptados aunque se
puede permitir la aceptación de riesgos altos si esto se Para desarrollar un Plan de Continuidad del Negocio es
especifica como un requisito contractual. necesario seguir las siguientes fases:

 Los criterios de aceptación del riesgo pueden incluir 1) Definición del proyecto, donde es necesario establecer
requisitos para tratamiento adicional en el futuro, por los objetivos, el alcance y el peor de los escenarios.

Importancia de un SGSI para empresas de tecnología

Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 9

2) Análisis de impacto en el negocio, conocido por sus riesgos, la selección de los controles de acuerdo con la
siglas en inglés BIA (Business Impact Analysis). Se declaración de aplicabilidad (SOA) y la revisión de la
debe realizar un análisis de riesgos, evaluar el impacto documentación de los controles seleccionados por la
del incidente tanto económico como de cualquier otro entidad de certificación.
tipo, identificar los procesos y activos críticos, asignar
el tiempo objetivo de recuperación y evaluar las 2) Los auditores realizan la auditoría in situ que tiene lugar
coberturas de los seguros y contratos. en la empresa, a la que se desplazan los auditores para
verificar la documentación revisada en la fase anterior
3) Selección de estrategias. Aquí hay que identificar los así como los registros del sistema. Durante esta fase los
recursos disponibles, evaluar las salvaguardas y auditores confirman que la organización cumple con sus
estimar si conviene más aportar una solución a nivel políticas y procedimientos, comprueban que el sistema
interno o a nivel externo. Con toda la información hay desarrollado está conforme con las especificaciones de
que valorar las ventajas y desventajas de cada una de la norma ISO 27001:2013 y verifican que está logrando
las estrategias posibles y escoger la más conveniente los objetivos que la organización se ha marcado.
para la organización.
Después de cada una de las fases de la auditoría la entidad
4) Desarrollo de planes en los que se deben que
de certificación emite un informe en el que se indican los
implementar diferentes procedimientos para afrontar
resultados de la misma. En los informes se pueden obtener los
las diversas incidencias.
siguientes resultados:
5) Pruebas y mantenimiento del plan de continuidad.
 Que todo se encuentre correcto.

Es imprescindible probar el plan para garantizar que cuando  Observaciones sobre el sistema que no tienen excesiva
haya que usarlo todo funcione como está previsto. relevancia pero que deben ser tenidas en cuenta en la
El plan debe ser probado periódicamente para identificar y siguiente fase de la auditoría, bien para ser revisadas in-
corregir posibles deficiencias e incluir actualizaciones del situ o bien para ser mejoradas en el siguiente ciclo de
sistema. Estas pruebas deben incluir, al menos, la restauración mejora.
de las copias de seguridad, la coordinación del personal y
departamentos involucrados, la verificación de la conectividad  No conformidades menores. Estas son incidencias
de los datos y del rendimiento de los sistemas alternativos y la encontradas subsanables mediante la presentación de un
verificación del procedimiento para la notificación de las Plan de Acciones Correctivas en el que se identifica la
incidencias y la vuelta a la situación inicial de normalidad. incidencia y la manera de solucionarla.
El plan debe ser conocido por todo el personal involucrado
directa e indirectamente. El grado de conocimiento del plan  No conformidades mayores que deben ser subsanadas
por parte de los diferentes actores dependerá de su inclusión por la empresa. Sin su resolución y en la mayor parte de
dentro del mismo. los casos, la realización de una auditoría extraordinaria
por parte de la entidad de certificación, no se obtendría
el certificado ya que se trata de incumplimientos graves
X. PROCESO DE CERTIFICACIÓN de la norma. En caso de darse tras la auditoría
Al finalizar la implantación del Sistema de Gestión de documental es necesario su resolución antes de llevar a
Seguridad de la Información, la compañía tiene la opción de cabo la auditoría in-situ.
certificarlo, obteniendo un documento a través de una entidad
certificadora que verifica que se cumple con todos los puntos Una vez conseguido el certificado del sistema, éste tiene una
obligatorios de la norma [4]. validez de tres años, aunque está sujeto a revisiones anuales.
Para certificarse, el SGSI debe estar funcionando y se deben Durante el primer año se realiza la auditoría inicial.
tener las evidencias que lo demuestren. Posteriormente cada tres años se realiza una revisión por parte
La auditoría de certificación se realiza siguiendo estos pasos: de la empresa certificadora de SGSI para renovación. En los
dos años posteriores tanto a la auditoría inicial como a las de
1) Los auditores hacen una revisión de la documentación renovación se realizarán auditorías de seguimiento.
del SGSI proporcionada. En ella se revisa la
documentación generada durante la implantación del
sistema y que incluirá, al menos, la política de
seguridad, el alcance de la certificación, el análisis de

Importancia de un SGSI para empresas de tecnología

Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 10

XI. BENEFICIOS DE UN SISTEMA DE GESTIÓN DE  Se disminuyen los gastos relacionados a incidentes de

SEGURIDAD DE LA INFORMACIÓN seguridad.
Teniendo en cuenta los parámetros de la norma ISO
27001:2013, un Sistema de Gestión de Seguridad de la
Información basado en ella podría generar los siguientes XII. CONCLUSIONES
beneficios para una organización [8]: Las organizaciones de tecnología deben proporcionar un
adecuado tratamiento a la información, de manera que se
 Reduce el riesgo de pérdida de información, al ser garanticen siempre sus principios de integridad,
manipulada inadecuadamente o sin autorización. confidencialidad y disponibilidad.

 Se revisan continua y oportunamente los riesgos a los Implementando un Sistema de Gestión de Seguridad de la
que se ve expuesta la información. información basado en la norma ISO 27001:2013, las
organizaciones tecnológicas establecen unas políticas,
 Establece una metodología gracias a la cual se puede controles y parámetros para definir el manejo que se le da a los
gestionar la seguridad de la información de forma clara activos de información y a la información como tal,
y concisa. permitiendo así determinar las amenazas, vulnerabilidades y
riesgos a los que se puede ver expuesta y aplicar el tratamiento
 Define medidas de seguridad para el acceso a la definido para cada caso. Además, de contar con un plan de
información por parte de terceros (clientes, proveedores mejora continua que permite el constante monitoreo para el
y terceros). hallazgo oportuno de posibles falencias o riegos. También
permite generar un plan de continuidad de negocio en caso de
 Favorece el establecimiento y la asignación de roles, una eventualidad que interrumpa las actividades normales de la
responsabilidades y obligaciones, ya que obliga a operación.
definirlos para su funcionamiento y buen desempeño.
Con la correcta implementación del SGSI, las
 Se identifican incidencias por medio de auditorías y organizaciones pueden optar a la certificación de la norma ISO
permite que se realice una mejora continua. 27001:2013 y con ello demostrar una alta competencia en el
manejo de la seguridad de la información.
 Contar un SGSI otorga a la organización una garantía
frente a clientes y socios estratégicos ya que muestra a
la misma como un organismo preocupado por la REFERENCIAS
confidencialidad y seguridad de la información que es [1] (2012). El portal de ISO 27001 en Español [En línea].
depositada en la misma. Disponible en: [Link]
[2] Sistema de Gestión de Seguridad de la Información
 Permite a las organizaciones continuar operando con (SGSI) [En línea]. Disponible en:
normalidad en caso de producirse problemas [Link]
importantes, ya que se tiene definido un tratamiento [3] Mintic. (2016, Mayo 11) Seguridad y privacidad de la
para los riesgos que puedan materializarse. información [En línea] Disponible en:
[Link]
 Hace que la organización esté cumpliendo con la 5482_G2_Politica_General.pdf
legislación vigente en materia de información personal [4] Segovia, Antonio Jose. ¿Qué es norma ISO 27001? [En
y propiedad intelectual. línea] Disponible en:
[Link]
 Favorece a la reducción de costos y un mejor [5] ISO 27001 Seguridad de la Información. [En línea]
funcionamiento de los procesos involucrados en el Disponible en: [Link]
SGSI. [6] Mintic. (2016, Abril 01) Guía de gestión de riesgos [En
línea] Disponible en:
 Contribuye al incremento en la motivación del personal, [Link]
ya que se desempeñan en una organización 5482_G7_Gestion_Riesgos.pdf
comprometida con la seguridad de la información y son [7] INTECO. Implantación de un SGSI en la empresa. [En
participes. línea] Disponible en:
[Link]
 Una empresa certificada, tiene mejor imagen frente a la gsi/img/Guia_apoyo_SGSI.pdf
competencia.
Importancia de un SGSI para empresas de tecnología
Universidad Piloto de Colombia. Pérez Pira Brigitte Andrea. Importancia de un SGSI para empresas de tecnología 11

[8] ISOTOOLS. (2016, Marzo 30). 12 Beneficios de

Implantar un SGSI de acuerdo a ISO 27001. [En línea]
Disponible en: [Link]
implantar-un-sgsi-de-acuerdo-a-iso-27001/

Autora
Brigitte Andrea Pérez Pira, ingeniera de Sistemas egresada de
la Fundación Universitaria Panamericana de la ciudad de
Bogotá, cursando la especialización de Seguridad de la
Información en la Universidad Piloto de Colombia.

Importancia de un SGSI para empresas de tecnología