Calidad ISO 9001 , GESTIÓN DE LA CALIDAD

Los beneficios de certificar tu empresa con ISO 9001:2015

Introducción

La Organización Internacional de Normalización (ISO), a través de su norma ISO 9001:2015,
establece los requisitos para la adopción de Sistemas de Gestión de Calidad (SGC), una decisión
estratégica para las organizaciones que les permitirá mejorar su desempeño global y les
facilitará una base sólida para mantener su desarrollo sostenible, lo cual les ayudará a actuar y
reaccionar ante un mercado cada día más volátil, incierto, complejo y ambiguo (Mazzei, 2023) .

Esta norma tiene como objetivo mejorar la eficiencia organizacional y la satisfacción del cliente
a través de prácticas sistemáticas de gestión de la calidad. Los cambios clave con respecto a su

predecesora, la ISO 9001:2008, incluyen un mayor enfoque en la participación del liderazgo, la
evaluación de riesgos, la atención a las partes interesadas y la mejora continua. La norma sirve
como marco para que las organizaciones establezcan, implementen, mantengan y mejoren
continuamente su SGC, fomentando una cultura de calidad y responsabilidad. Su
implementación puede generar beneficios significativos, incluido un mejor desempeño
operativo y una mayor confianza de las partes interesadas (Helmold, 2023) .

La certificación ISO 9001:2015 establece los requisitos para un (SGC) efectivo en cualquier
organización, independientemente de su tamaño o sector. Esta norma ayuda a mejorar la
calidad de los productos, los servicios y la satisfacción del cliente.

Beneficios de certificar tu empresa con ISO 9001:2015

1. Mejora de la satisfacción del cliente.

Una de las ventajas más significativas derivadas de la implementación de un SGC que cumpla
con la norma ISO 9001:2015 es que persigue la mejora en los niveles de satisfacción de los
clientes. Al poner un fuerte énfasis en las diversas necesidades y expectativas de los clientes,
las organizaciones están preparadas para modificar sus procesos operativos de modo que
estén alineados de manera efectiva con estos requisitos específicos. Esta alineación estratégica
se traduce en la entrega de productos y servicios que muestran un nivel de calidad superior, lo
que lleva al cultivo de la lealtad y la confianza de los clientes, que son fundamentales para
mantener relaciones comerciales a largo plazo (Certification, 2024) .

2. Eficiencia operativa.

La norma ISO 9001:2015 sirve como catalizador para establecer una estructura organizacional
lúcida, junto con procesos delineados con precisión, lo que contribuye a reducir las
ineficiencias dentro del marco operativo. La implementación de un sistema de gestión de la
calidad, facilita la identificación de las áreas potenciales que requieren mejoras en varios
procesos empresariales, lo que optimiza la utilización de los recursos y, en última instancia, se
traduce en un aumento de los niveles generales de productividad dentro de la
organización (LRQA, 2024) .

3. Ventaja competitiva.

La obtención de la certificación de acuerdo con la norma ISO 9001:2015 puede servir como un
diferenciador fundamental dentro del panorama competitivo del mercado. Un número
considerable de empresas acuerda que sus proveedores deben poseer esta certificación como
requisito previo para iniciar y establecer relaciones comerciales. Esto mejora la credibilidad y la
confiabilidad de la organización ante los posibles clientes, y también amplía el acceso a los
mercados emergentes que antes no estaban explotados (Certification, 2024) .

4. Compromiso con la mejora continua.

La norma ISO 9001:2015 acentúa la importancia de un compromiso inquebrantable con la
mejora continua. Requiere que las organizaciones realicen evaluaciones y ajustes continuos de
sus procesos operativos. Esta búsqueda incesante de la excelencia, facilita el mantenimiento
de estándares elevados, y también permite a las empresas adaptarse rápidamente a los
cambios dinámicos que se producen en el mercado o en respuesta a la evolución de las
expectativas de los clientes (SGS, s. f.) .

5. Cumplimiento normativo.

Lograr la certificación en el marco de la norma ISO 9001:2015 desempeña un papel vital a la
hora de ayudar a las organizaciones a cumplir con los requisitos legales y reglamentarios
aplicables. Mediante el establecimiento de un sistema de gestión de la calidad eficaz y bien
documentado, las empresas pueden demostrar su dedicación a mantener el cumplimiento
legal, mitigando así los riesgos asociados a las posibles sanciones o complicaciones legales que
podrían surgir en ausencia de tales medidas (ISO, 2015) .

6. Identificación y gestión de riesgos.

La norma ISO 9001:2015 impone a las organizaciones el requisito de identificar y evaluar
activamente los riesgos y las oportunidades que son pertinentes a su contexto operativo. Este
enfoque proactivo permite a las empresas prever los posibles desafíos que puedan surgir y
diseñar estrategias integrales destinadas a mitigar estos riesgos de manera efectiva,
reforzando así su resiliencia general y su capacidad para sortear las incertidumbres en un
entorno empresarial dinámico (Certification, 2024) .

Tabla comparativa: beneficios vs. costos.

Beneficio	Descripción	Costo Aproximado
Mejora en satisfacción del cliente	Aumento en lealtad y confianza del cliente	Confianza del cliente Inversión inicial en capacitación
Eficiencia operativa	Reducción de desperdicios y optimización de recursos	Costos operativos adicionales
Ventaja competitiva	Acceso a nuevos mercados y relaciones comerciales	Costo por auditoría externa
Compromiso con mejora continua	Adaptabilidad ante cambios en el mercado	Gastos recurrentes en auditorías
Cumplimiento normativo	Reducción del riesgo legal	Costos asociados al cumplimiento
Gestión proactiva de riesgos	Identificación temprana de problemas potenciales	Inversión en análisis de riesgos

Conclusiones

Lograr la certificación para una empresa en el marco de la norma ISO 9001:2015 presenta una
multitud de ventajas importantes que van mucho más allá del simple cumplimiento de los
mandatos reglamentarios. Los beneficios de esta certificación van desde la mejora de la
satisfacción del cliente hasta la optimización de los procesos internos, lo que posiciona a esta
certificación como una herramienta estratégica indispensable para cualquier organización que
aspire a distinguirse en un mercado cada vez más competitivo.

Si bien el proceso de obtención de la certificación puede ser complejo y requerir una inversión
financiera inicial, las ventajas a largo plazo que se derivan de este esfuerzo justifican de
manera abrumadora los costos incurridos. La implementación competente del SGC garantiza
una calidad constante en los productos y servicios ofrecidos por la organización, y también
fomenta el establecimiento de una cultura organizacional que está firmemente arraigada en
los principios de mejora continua y excelencia. En consecuencia, invertir en la certificación ISO
9001:2015 representa una decisión estratégica que tiene el potencial de transformar
significativamente una organización, asegurando así su crecimiento sostenible y facilitando su
éxito futuro en un entorno empresarial dinámico.

Referencias Bibliográficas

Certification, G. (2024, octubre 7). Certificación ISO 9001—Sistemas de Gestión de Calidad. Global Standards.
https://www.globalstd.com/certificacion/iso-9001/

Helmold, M. (2023). Quality Management (QM). En M. Helmold (Ed.), Virtual and Innovative Quality Management
Across the Value Chain: Industry Insights, Case Studies and Best Practices (pp. 1-13). Springer International
Publishing. https://doi.org/10.1007/978-3-031-30089-9_1

ISO. (2015). ISO 9001:2015. ISO. https://www.iso.org/es/contents/data/standard/06/20/62085.html

LRQA. (2024). ISO 9001—Sistemas de gestión de calidad. LRQA. https://www.lrqa.com/es-cl/iso-9001/

Mazzei, D. E. S. (2023). La Certificación ISO 9001:2015 en Venezuela: Obstáculos, Retos e Impactos al Adoptar e
Implementar SGC Basados en esta Norma: ISO 9001:2015 Certification in Venezuela: Obstacles,
Challenges, and Impacts of Adopting and Implementing Quality Management Systems Based on this
Standard. Tekhné, 26(2), Article 2. https://doi.org/10.62876/tekhn.v26i2.6211

Normas ISO y Actualidad. (2023, abril 3). (28) PASOS PARA CERTFICAR TU EMPRESA EN ISO 9001:2015 | LinkedIn.
https://www.linkedin.com/pulse/pasos-para-certficar-tu-empresa-en-iso-90012015-alttosgroup/

SGS. (s. f.). ISO 9001:2015. SGS. Recuperado 7 de octubre de 2024, de https://www.sgs.es/es-es/campaigns/iso-
9001-2015

Germán Andrés Sánchez Ortegón
Dic, Mar, 2024

La norma ISO/IEC 27001:2022 simplificada: un enfoque paso a paso para la certificación.

Introducción

La norma ISO/IEC 27001:2022 ofrece un marco actualizado y simplificado para gestionar
eficazmente la seguridad de la información en un mundo donde las amenazas cibernéticas son
cada vez más prevalentes. Siguiendo este enfoque paso a paso para su certificación, las
organizaciones no solo mejorarán su postura frente a riesgos cibernéticos, sino que también
fortalecerán su reputación como entidades responsables en el manejo de información
crítica (Mendoza, 2023) .

La ISO/IEC 27001:2022 fue publicada el 25 de octubre de 2022, marcando una evolución
necesaria tras casi una década desde su versión anterior en 2013 (DIPREM Global, 2022) . La
transición hacia esta nueva norma debe ser vista como una oportunidad para mejorar
continuamente las prácticas organizacionales en materia de seguridad.

Esta además de adaptar los controles existentes, busca también introducir nuevos que
aborden las amenazas emergentes, como la gestión de servicios en la nube y el desarrollo
seguro de software (Iturriaga, 2022) . A continuación, se presenta un enfoque simplificado paso
a paso para la certificación bajo esta norma.

Estructura de la Norma

Manteniendo un formato estructural que se parece mucho a su predecesor, el estándar se
compone de 11 cláusulas distintas que delinean los requisitos específicos necesarios para un
SGSI efectivo. Cabe destacar, que se puede observar una transformación significativa en el
anexo A, donde el número total de controles se ha reducido juiciosamente de 114 a 93,
clasificándolos así en cuatro categorías principales: organizacionales, personales, físicos y
tecnológicos (DQS, s. f.) . Esta metodología simplificada facilita una identificación y gestión más
sencillas de los controles esenciales para garantizar una seguridad de la información sólida en
los diversos contextos organizacionales.

Paso a paso para la certificación

Compromiso de la alta dirección

El primer paso esencial es obtener el compromiso y apoyo de la alta dirección. Esto implica que
los líderes deben entender la importancia de la seguridad de la información y estar dispuestos
a proporcionar los recursos necesarios para implementar y mantener el SGSI. La dirección
debe establecer políticas claras y objetivos alineados con los requisitos de la norma.

2. Evaluación inicial

Realizar una evaluación inicial del estado actual del SGSI es fundamental. Esto incluye
identificar los activos de información, evaluar los riesgos asociados y determinar las
vulnerabilidades existentes. Esta evaluación ayudará a establecer una línea base sobre la cual
se pueden implementar mejoras.

3. Definición del alcance

Es de suma importancia definir los límites y el alcance del SGSI que se está estableciendo. Este
proceso implica determinar qué segmentos específicos de la organización estarán bajo el
ámbito del sistema, así como identificar qué activos se clasificarán como críticos para
mantener la seguridad. Un alcance bien articulado y claramente definido sirve para centrar los
esfuerzos y asignar los recursos de manera eficaz hacia las áreas más críticas y vulnerables que
requieren atención y protección inmediatas.

4. Desarrollo e Implementación del SGSI

Con base en la evaluación inicial y el alcance definido, se procede a desarrollar e implementar
políticas, procedimientos y controles necesarios para cumplir con los requisitos de la norma.
Esto incluye:

Controles técnicos: implementar medidas como control de accesos, criptografía y seguridad
física.

Controles organizacionales: establecer roles y responsabilidades claras dentro del SGSI.

Capacitación: proporcionar formación continua al personal sobre las políticas y
procedimientos establecidos.

5. Monitoreo y revisión

Tras la implementación del SGSI, resulta necesario establecer un proceso de supervisión y
revisión completo, que garantice la eficacia y el cumplimiento continuos. Este proceso abarca
auditorías internas periódicas diseñadas para evaluar rigurosamente el cumplimiento de los
controles establecidos y, al mismo tiempo, permitir los ajustes y mejoras necesarios a medida
que evolucionen las circunstancias. La norma hace especial hincapié en el ciclo PDCA
(planificar, hacer, verificar, actuar), que es reconocido como un marco altamente eficaz para
fomentar la mejora continua en el panorama de la seguridad de la información (NQA-ISO-
27001-Guia-de-implantacion.pdf, s. f.) .

6. Auditoría externa

Para obtener la certificación según la norma ISO/IEC 27001:2022, es esencial someterse a una
auditoría externa realizada por un organismo certificador acreditado que posea la autoridad y
la experiencia necesarias. Esta auditoría externa evaluará si el SGSI en cuestión cumple con
todos los requisitos estipulados, tal como se describe en la propia norma. Es muy
recomendable que las organizaciones preparen toda la documentación necesaria y se
aseguren de que todos los procesos operativos se alineen perfectamente con lo que se ha
implementado.

7. Mantenimiento y mejora continua

Al obtener la certificación, es importante garantizar que el SGSI se mantenga actualizado y
responda a los riesgos y cambios emergentes en el entorno organizacional. Este proceso
continuo requiere la realización de revisiones periódicas del sistema, la actualización de los
controles según se considere necesario y la participación constante de todo el personal en la
promoción de prácticas seguras para mitigar las posibles vulnerabilidades.

Beneficios de certificarse

La certificación según la norma ISO/IEC 27001:2022 no solo confiere una ventaja competitiva
significativa al demostrar de manera visible un compromiso firme con la seguridad de la
información, tanto para los clientes como para los socios comerciales, sino que desempeña un
papel crucial a la hora de mitigar los riesgos sustanciales asociados con los ciberataques y otros
incidentes de seguridad (Solutions, 2023) . Además, al adoptar un enfoque basado en el riesgo,
las organizaciones pueden priorizar de manera efectiva sus recursos y esfuerzos en las áreas
que son más susceptibles a las vulnerabilidades y amenazas.

Conclusiones

La norma ISO/IEC 27001:2022 proporciona un marco actualizado y simplificado que es esencial
para la gestión eficaz de la seguridad de la información en un entorno en el que las
ciberamenazas son cada vez más frecuentes y generalizadas. Al adoptar este enfoque
detallado y gradual para sus iniciativas de certificación, las organizaciones no solo mejorarán
su postura general de seguridad frente a los persistentes riesgos cibernéticos, también
reforzarán su reputación como administradoras responsables de la gestión de la información
crítica y confidencial. La transición a este nuevo estándar debe aprovecharse como una valiosa
oportunidad para mejorar y perfeccionar continuamente las prácticas organizativas en el
ámbito de la gestión de la seguridad.

Referencias Bibliográficas

DIPREM Global. (2022, noviembre 15). (18) Actualización ISO/IEC 27001:2022 | LinkedIn. DIPREM Global.
https://www.linkedin.com/pulse/actualizaci%C3%B3n-isoiec-270012022-diprem-sa/

DQS. (s. f.). Cambios clave de la nueva ISO/IEC 27001:2022 I DQS. DQS. Recuperado 22 de septiembre de 2024, de
https://www.dqsglobal.com/es-sv/aprenda/blog/new-iso-27001-2022-key-changes

Iturriaga, I. (2022, diciembre 23). Cambios y novedades en la norma ISO/IEC 27001/2022 y su guía de desarrollo
ISO/IEC 27002/2022. Global Technology. https://globalt4e.com/cambios-en-la-norma-iso-iec-27001-2022-
y-su-guia-de-desarrollo-iso-iec-27002-2022/

Mendoza, M. Á. (2023, febrero 9). ISO 27001:2022: ¿qué cambios introdujo el nuevo estándar de seguridad?
welivesecurity. https://www.welivesecurity.com/la-es/2023/02/09/iso-270012022-cambios-nuevo-
estandar-seguridad/

NQA-ISO-27001-Guia-de-implantacion.pdf. (s. f.). Recuperado 22 de septiembre de 2024, de
https://www.nqa.com/medialibraries/NQA/NQA-Media-
Library/PDFs/Spanish%20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

Solutions, G. (2023, marzo 20). ¿Qué es la norma ISO 27001 y para qué sirve? GlobalSuite Solutions.
https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/

Germán Andrés Sánchez Ortegón
Oct, Mié, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Cómo abordar la nueva norma ISO/IEC 27001:2022: cambios clave y qué significan para usted

Introducción

La norma ISO/IEC 27001:2022 ha obtenido el reconocimiento mundial como el estándar preeminente relacionado con la gestión de la seguridad de la información, lo que subraya su importancia en la era digital contemporánea. A la luz de la transformación sustancial que se ha producido en el panorama de las ciberamenazas desde la anterior revisión de esta norma en el año 2013, ha surgido la necesidad de modificar las normas existentes para que reflejen adecuadamente estos desafíos cambiantes. La versión lanzada en el 2022, se esfuerza no sólo por preservar la relevancia duradera de la norma, sino también por mejorar su compatibilidad y alineación con otros marcos regulatorios y estándares internacionales establecidos, incluida la ISO/IEC 27002, que también es una piedra angular de la gestión de la seguridad de la información(DQS, s. f.).

Esta norma, publicada el 25 de octubre de 2022, representa una actualización significativa del estándar internacional para la gestión de la seguridad de la información. Esta revisión es crucial para las organizaciones que buscan mejorar su Sistema de Gestión de Seguridad de la Información (SGSI) y adaptarse a un entorno digital en constante evolución. A continuación, se analizan los cambios clave introducidos por esta nueva norma y su impacto en las organizaciones.

Cambios clave en la norma

Estructura general

La estructura general de la norma se mantiene con 11 cláusulas, cabe destacar que varias de estas cláusulas han sufrido modificaciones menores pero significativas. Algunas partes de las cláusulas 4 a 10 se han revisado para reforzar la claridad y la adaptabilidad de la norma y garantizar que pueda aplicarse de manera efectiva en diversos contextos y marcos organizacionales(Jiménez, 2023). Por ejemplo:

Cláusula 4 (Contexto de la organización): se requiere que las organizaciones identifiquen los requisitos pertinentes de las partes interesadas y especifiquen cómo serán abordados en el SGSI.

Cláusula 6 (Planificación): se ha introducido una nueva cláusula que enfatiza la planificación de cambios necesarios en el SGSI.

Cambios en las Cláusulas

Las primeras tres cláusulas han sufrido modificaciones menores en redacción, sin afectar el sentido original(Mendoza, 2023). En particular:

Cláusula 1 (Alcance): define el ámbito de aplicación del estándar.

Cláusula 2 (Referencias normativas): se actualizan las referencias a documentos normativos.

Cláusula 3 (Términos y definiciones): se recomienda utilizar el estándar ISO/IEC 27000 para un lenguaje estandarizado.

Cambios en los controles del Anexo A

Uno de los cambios más significativos se encuentra en el Anexo A, que ahora contiene 93 controles organizados en cuatro secciones, en lugar de los 114 controles anteriores distribuidos en 14 secciones. Esto simplifica el enfoque hacia la gestión de riesgos. Algunos controles han sido actualizados, mientras que otros han sido reagrupados o eliminados para reflejar mejor las amenazas actuales y las mejores prácticas en ciberseguridad(Innevo, 2023). Esta reestructuración estratégica sirve para simplificar el enfoque global de la gestión de riesgos, promoviendo así la eficiencia y la eficacia en la aplicación de las medidas de seguridad. Además de la reorganización de los controles, algunos controles se han actualizado, mientras que otros se han reagrupado cuidadosamente o se han eliminado por completo para garantizar que reflejen con mayor precisión el panorama actual de amenazas y las mejores prácticas en el ámbito de la ciberseguridad. La intención de esta reestructuración no es solo simplificar sino también mejorar la eficacia de los controles de seguridad vigentes.

Controles Organizacionales: 37 controles, con 3 nuevos.
Controles al Personal: 8 controles, sin cambios.
Controles Físicos: 14 controles, con 1 nuevo.
Controles Tecnológicos: 34 controles, con 7 nuevos.

Nuevos Controles

Los nuevos controles introducidos incluyen aspectos críticos como:

Inteligencia de amenazas.
Seguridad de la información en servicios en la nube.
Preparación para la continuidad del negocio.
Supervisión de la seguridad física.
Gestión de la configuración.

Enfoque en ciberseguridad y privacidad

El título de la norma se ha revisado para incorporar explícitamente términos críticos como «ciberseguridad» y «protección de la privacidad», ampliando así significativamente el alcance de la norma. Esta expansión es particularmente relevante a la luz de la creciente importancia de estas cuestiones en el contexto sociotécnico actual, que se caracteriza por un aumento continuo de la frecuencia y sofisticación de los ciberataques y las violaciones de datos. El reconocimiento proactivo de estos importantes desafíos es esencial para las organizaciones que desean fortalecer sus defensas contra tales amenazas(Innevo, 2023).

Implicaciones para las organizaciones

Adaptación a los cambios

Las organizaciones disponen de un período de transición hasta octubre de 2025 para adaptarse a esta última versión de la norma, por lo que es imperativo que inicien los ajustes necesarios en sus sistemas actuales para garantizar el cumplimiento de los requisitos recientemente establecidos. Este proceso de adaptación incluye una revisión exhaustiva y la posterior actualización de las políticas, procedimientos y medidas de control existentes, alineándose meticulosamente con las directrices recientemente delineadas que figuran en la norma revisada(RINA, s. f.).

Mejora continua

El principio de mejora continua sigue siendo una piedra angular fundamental del SGSI en el marco de la nueva norma, y hace hincapié en la necesidad de que las organizaciones instituyan procesos claros y sistemáticos para la evaluación de su desempeño y la implementación de los ajustes necesarios a lo largo del tiempo. Esto no solo implica cumplir con los requisitos establecidos, sino que también requiere que las organizaciones busquen de manera proactiva métodos innovadores y efectivos para mejorar sus prácticas de seguridad de forma continua(Mendoza, 2023).

Capacitación y concientización

Es imperativo que las organizaciones prioricen la capacitación de su personal en relación con los nuevos requisitos y controles, ya que esto es vital para garantizar la implementación efectiva del SGSI dentro de su marco operativo. Las organizaciones deben estar dispuestas a invertir en programas de capacitación integrales que aborden las dimensiones técnicas y operativas pertinentes a la seguridad de la información,

fomentando así una cultura de vigilancia y preparación ante los cambiantes desafíos de seguridad(Cruz, 2022).

Conclusiones y recomendaciones finales

La actualización a la ISO/IEC 27001:2022 representa una oportunidad significativa para que las organizaciones fortalezcan su postura frente a la seguridad de la información. Al adoptar un enfoque más integrado hacia la ciberseguridad y al simplificar sus controles, las empresas pueden mejorar su resiliencia frente a las amenazas emergentes. Es fundamental que cada organización evalúe su situación actual, planifique adecuadamente su transición hacia el nuevo estándar y asegure que todos los niveles dentro de la empresa estén comprometidos con esta transformación. La implementación exitosa no solo contribuirá a cumplir con los requisitos normativos, sino que también mejorará significativamente la confianza del cliente y protegerá los activos más valiosos: su información. En resumen, abordar adecuadamente esta nueva norma no solo es un requisito regulatorio; es una estrategia esencial para cualquier organización que busque prosperar en un entorno digital cada vez más complejo y desafiante.

Referencias bibliográficas:

Cruz, H. de la. (2022, julio 5). Principales cambios de la ISO/IEC 27001 en 2022. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2022/07/principales-cambios-de-la-iso-iec-27001-en-2022/

DQS. (s. f.). Cambios clave de la nueva ISO/IEC 27001:2022 I DQS. DQS. Recuperado 21 de septiembre de 2024, de https://www.dqsglobal.com/es-sv/aprenda/blog/new-iso-27001-2022-key-changes

Innevo. (2023, abril 14). ISO 27001 Última Versión 2022: Novedades y Cambios Más Importantes. https://blog.innevo.com/iso27001-2022

Jiménez, M. M. (2023, noviembre 23). Principales cambios de la norma ISO 27001:2022. https://www.piranirisk.com/es/blog/cambios-norma-iso-27001-2022

Mendoza, M. Á. (2023, marzo 10). ISO 27001:2022: Cambios en las cláusulas que introdujo la nueva versión del estándar de seguridad. https://www.welivesecurity.com/la-es/2023/03/10/iso-27001-2022-cambios-clausulas-nueva-version-estandar-seguridad/

RINA. (s. f.). ISO/IEC 27001 Nueva edición de la Norma: Cambios y plazo—RINA.org. Recuperado 21 de septiembre de 2024, de https://www.rina.org/es/news/iso-iec-27001

Germán Andrés Sánchez Ortegón
Oct, Mié, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Del cumplimiento a la confianza: cómo la norma ISO/IEC 27001:2022 puede transformar su negocio

Introducción

En la era digital actual, la seguridad de la información se ha transformado en una piedra angular para el éxito y la sostenibilidad de las organizaciones. La globalización de los mercados y la digitalización acelerada hacen imperativo proteger los activos de información contra amenazas cada vez más sofisticadas(Chavez et al., 2024).

La norma ISO/IEC 27001:2022 surge como un marco esencial que desempeña un papel fundamental en la gestión de la seguridad de la información, ya que ofrece a las organizaciones un enfoque estructurado del cumplimiento que no solo cumple con los requisitos reglamentarios, sino que también fomenta una capa fundamental de confianza tanto entre los clientes como entre los socios comerciales. La relevancia de esta norma abarca una amplia gama de sectores, alcanzando dominios tan diversos como la tecnología y las finanzas, lo que subraya su importancia crítica en cualquier contexto en el que la protección de la información confidencial sea primordial. Los datos empíricos recientes revelan que las brechas de seguridad pueden causar daños financieros por valor de millones de dólares a las empresas, lo que deja muy claro que invertir en un sistema de gestión de la seguridad de la información (SGSI) completo y sólido no solo es aconsejable, sino que, de hecho, es esencial para garantizar la continuidad del negocio y la resiliencia ante posibles interrupciones(Vakhula et al., 2024).

El potencial transformador de la norma ISO/IEC 27001:2022 para operaciones comerciales

La implementación del estándar ISO/IEC 27001:2022 proporciona a las organizaciones un enfoque estructurado que trasciende el ámbito de la protección básica de datos; más bien, sirve para fortalecer la totalidad de la administración operativa dentro de la organización. Esta norma en particular es fundamental para identificar, gestionar y mitigar de forma proactiva los riesgos de seguridad, lo que, a su vez, permite a las organizaciones optimizar sus procesos operativos y reforzar su capacidad para lograr una continuidad empresarial sostenida. Al cumplir con estos estándares establecidos, las organizaciones no solo mejoran la eficiencia de sus procesos operativos, sino que también integran de manera efectiva las prácticas de seguridad en el núcleo mismo de sus operaciones diarias, lo que aumenta significativamente la eficiencia y la eficacia organizativas generales(Secureframe, 2023).

Protección esencial de los datos críticos

A la luz de la frecuencia cada vez mayor y los costos sustanciales asociados a las filtraciones de datos en el mundo interconectado actual, el estándar ISO/IEC 27001:2022 se ha diseñado meticulosamente para fortalecer la seguridad de los activos de datos críticos. Esta norma reconocida internacionalmente proporciona un enfoque sistemático y rigurosamente estructurado destinado a garantizar la confidencialidad, la integridad y la disponibilidad de la información crítica. Al establecer controles estrictos y participar en procesos de evaluación continuos, las organizaciones están facultadas no solo para evitar incidentes de seguridad, sino también para organizar respuestas eficaces en el desafortunado caso de que se produzcan ciberataques o brechas de seguridad(Toro, 2018).

Mejorar la reputación y la confiabilidad de los clientes

Establecer y mantener la confianza de los clientes es un principio fundamental en el entorno empresarial contemporáneo, donde hay más en juego que nunca. La implementación de un SGSI que cumpla con las normas ISO/IEC 27001:2022 es una indicación clara y demostrable del compromiso serio de una organización con la seguridad de la información, un compromiso que puede mejorar profundamente la percepción del mercado con respecto a la confiabilidad y la estabilidad de la empresa. Para las empresas que manejan cantidades importantes de información confidencial, este nivel de dedicación a la seguridad es particularmente crucial, ya que la confianza de los clientes suele ser el factor decisivo que influye en el éxito y la sostenibilidad de la empresa en general(CyberSeg Solutions, 2023).

Beneficios de implementar ISO 27001

Seguridad mejorada	Proporciona un marco sistemático para identificar, evaluar y gestionar los riesgos de seguridad de la información. Esto conduce a una mejor protección de los datos confidenciales, lo que reduce la probabilidad de infracciones y accesos no autorizados.
Gestión de riesgos	A través de un proceso exhaustivo de evaluación de riesgos, las organizaciones pueden identificar vulnerabilidades y amenazas potenciales a sus activos de información. Esto les permite abordar estos riesgos de manera proactiva, minimizando el impacto potencial.
Cumplimiento normativo	Ayuda a las organizaciones a alinearse con diversas regulaciones de privacidad y protección de datos, como LFPDPPP, GDPR, PCI/DSS, HIPAA y otras, garantizando el cumplimiento legal y evitando multas elevadas.
Mejor reputación empresarial	Demostrar el cumplimiento de la norma ISO 27001 mejora la reputación de una organización como entidad confiable que prioriza la seguridad de la información. Esto puede generar una mayor confianza del cliente y potencialmente nuevas oportunidades comerciales.
Ventaja competitiva	La certificación ISO 27001 puede proporcionar una ventaja competitiva en el mercado al mostrar un compromiso con prácticas de seguridad sólidas, particularmente en industrias donde la seguridad de la información es una preocupación crítica.
Procesos eficientes	El estándar fomenta el desarrollo de procesos y procedimientos de seguridad de la información eficientes y efectivos, lo que contribuye a optimizar las operaciones y reducir el tiempo de inactividad.
Preparación para incidentes	La implementación de ISO 27001 fomenta una cultura de preparación al establecer planes y procedimientos de respuesta a incidentes, lo que permite una acción rápida y efectiva en caso de incidentes de seguridad.
Conciencia en los empleados	ISO 27001 promueve la conciencia y la participación de los empleados en las prácticas de seguridad de la información, creando una cultura consciente de la seguridad en toda la organización.

Conclusiones y recomendaciones finales

La norma ISO/IEC 27001:2022 no debe percibirse simplemente como otro requisito reglamentario impuesto a las empresas contemporáneas; más bien, debe considerarse una inversión estratégica que es fundamental para garantizar la seguridad y la credibilidad futuras de la organización.

Dadas las alarmantes estadísticas sobre la frecuencia y el impacto financiero de las brechas de seguridad, es prudente y recomendable que las organizaciones adopten esta norma no solo por motivos de cumplimiento, sino también como pilar fundamental de su estrategia global de seguridad corporativa. Se recomienda encarecidamente que las organizaciones realicen auditorías periódicas, brinden capacitación continua a sus miembros del personal y mantengan un diálogo abierto y transparente con las partes interesadas en relación con la seguridad de la información, todo ello en un esfuerzo por cultivar y mantener un entorno digital seguro.

En última instancia, la transparencia y un compromiso inquebrantable con la seguridad representan la base sobre la que se construye la confianza de los clientes en esta era cada vez más digital.

Referencias bibliográficas

Chavez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC 27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th International Conference on Cloud Computing, Data Science & Engineering (Confluence), 184-189. https://doi.org/10.1109/Confluence60223.2024.10463392

CyberSeg Solutions. (2023, agosto 28). Beneficios de implementar ISO 27001 en las organizaciones—CyberSeg Solutions. https://www.cyberseg.solutions/beneficios-de-implementar-iso-27001-en-las-organizaciones/

Secureframe. (2023). ¿Por qué es importante la ISO 27001? Beneficios de la certificación. Secureframe. https://secureframe.com/hub/iso-27001/why-is-iso-27001-important

Toro, R. (2018, julio 5). ¿Cómo te ayuda la norma ISO 27001 en la seguridad de tu negocio? PMG SSI – ISO 27001. https://www.pmg-ssi.com/2018/07/ayuda-norma-iso-27001-seguridad-negocio/

Vakhula, O., Kurii, Y., Opirskyy, I., & Susukailo, V. (2024). Security-as-Code Concept for Fulfilling ISO/IEC 27001:2022 Requirements. 59-72. https://ceur-ws.org/Vol-3654/paper6.pdf

Germán Andrés Sánchez Ortegón
Sep, Mar, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Descubriendo los secretos de la norma ISO/IEC 27001:2022: su guía definitiva sobre seguridad de la información

Introducción

A medida que la prevalencia de los ciberataques continúa aumentando a escala mundial, las organizaciones y empresas de diversos sectores comienzan a reconocer cada vez más la necesidad crítica de protegerse contra una amplia gama de actividades maliciosas que tienen como objetivo infiltrarse en sus sistemas y obtener acceso no autorizado a sus valiosos activos de información. Ante este panorama apremiante, es necesario que las organizaciones adopten un enfoque de gestión integral y eficaz para la seguridad de la información, lo que exige fundamentalmente la adopción de una postura proactiva que incluya la implementación de regulaciones y políticas sólidas diseñadas para mitigar los riesgos asociados con posibles ciberamenazas y ataques(Diéguez et al., 2023).

La norma ISO/IEC 27001:2022 representa un punto de referencia reconocido internacionalmente que proporciona un marco estructurado y sistemático para el establecimiento y el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI). Este estándar en particular es de suma importancia para cualquier organización que aspire a proteger sus activos de información de manera diligente, garantizando así que los elementos cruciales de confidencialidad, integridad y disponibilidad de los datos no solo se mantengan, sino que también se refuercen de manera efectiva(Kurii & Opirskyy, 2024).

¿Qué es la norma ISO/IEC 27001?

La ISO/IEC 27001 es la norma más conocida del mundo para SGSI. Define los requisitos que debe cumplir un SGSI. Además, proporciona a las empresas de cualquier tamaño y de todos los sectores, orientaciones para establecer, implantar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información. La conformidad con la ISO/IEC 27001 implica que una organización o empresa ha implantado un sistema para gestionar los riesgos relacionados con la seguridad de los datos que posee o maneja, y que este sistema respeta todas las buenas prácticas y principios contemplados en esta Norma Internacional(International Standard, 2022).

¿Por qué es importante la norma ISO/IEC 27001?

Con el aumento de la ciberdelincuencia y la aparición constante de nuevas amenazas, puede parecer difícil o incluso imposible gestionar los riesgos cibernéticos. La ISO/IEC 27001 ayuda a las organizaciones a ser conscientes de dichos riesgos y a identificar y abordar los puntos débiles de forma proactiva. Esta norma promueve un enfoque integral de la seguridad de la información, que abarca a las personas, las políticas y la tecnología. Un sistema de gestión de la seguridad de la información implantado conforme a esta norma es una herramienta clave para la gestión de riesgos, la resiliencia cibernética y la excelencia operativa(Chávez et al., 2024).

Norma ISO/IEC 27001:2022

Beneficios	Protección de la información	Ayuda a proteger la información sensible contra accesos no autorizados, robos y pérdidas
	Cumplimiento normativo	Facilita el cumplimiento de leyes y regulaciones relacionadas con la protección de datos, como el GDPR.
	Confianza del cliente	Al demostrar un compromiso con la seguridad de la información, las organizaciones pueden aumentar la confianza de sus clientes y socios comerciales.
	Mejora de la reputación	La certificación ISO/IEC 27001 puede mejorar la imagen de la organización, destacando su responsabilidad en la gestión de la seguridad de la información.
	Identificación de riesgos	Proporciona un marco para identificar, evaluar y gestionar riesgos relacionados con la seguridad de la información.
Estructura	Contexto de la organización	Se requiere que la organización entienda su contexto interno y externo, así como las partes interesadas y sus necesidades en relación con la seguridad de la información.
	Liderazgo	La alta dirección debe demostrar liderazgo y compromiso con el SGSI, asegurando que se asignen recursos adecuados y se establezcan roles y responsabilidades claras.
	Planificación	Se deben identificar y evaluar los riesgos relacionados con la seguridad de la información, así como establecer objetivos y planes para abordarlos.
	Apoyo	La norma enfatiza la importancia de la formación y concienciación del personal, así como la gestión de la documentación y la comunicación.
	Operación	Se deben implementar las medidas de seguridad necesarias para gestionar los riesgos identificados y cumplir con los objetivos establecidos.
	Evaluación del desempeño	La organización debe monitorear, medir y evaluar el desempeño del SGSI para asegurar su eficacia.
Implementación	Mejora continua	Se requiere que la organización tome medidas para mejorar continuamente el SGSI, basándose en los resultados de las evaluaciones y auditorías.
	Compromiso de la alta dirección	Es fundamental que la alta dirección esté comprometida con la implementación del SGSI y que asigne los recursos necesarios.
	Definición del alcance	La organización debe definir el alcance del SGSI, identificando qué activos de información se incluirán y qué áreas de la organización estarán cubiertas.
	Evaluación de riesgos	Realizar una evaluación de riesgos para identificar las amenazas y vulnerabilidades que afectan a los activos de información. Esto incluye la identificación de controles existentes y la determinación de la efectividad de estos controles.
	Desarrollo de políticas y procedimientos	Establecer políticas y procedimientos claros que guíen la gestión de la seguridad de la información dentro de la organización.
	Formación y concienciación	Proporcionar formación y concienciación a todos los empleados sobre la importancia de la seguridad de la información y sus roles en el SGSI.
	Implementación de controles	Implementar controles de seguridad para mitigar los riesgos identificados. Esto puede incluir medidas técnicas, administrativas y físicas.
	Monitoreo y revisión	Establecer un proceso de monitoreo y revisión para evaluar la eficacia del SGSI y realizar ajustes según sea necesario.
	Auditoría interna	Realizar auditorías internas para verificar el cumplimiento de la norma y la efectividad del SGSI.
	Certificación	Si se desea, la organización puede buscar la certificación por parte de un organismo de certificación acreditado para demostrar su cumplimiento con la norma ISO/IEC 27001:2022.
Desafíos en la implementación	Resistencia al cambio	Algunos empleados pueden resistirse a los cambios en los procesos y políticas de seguridad.
	Falta de recursos	La implementación puede requerir recursos significativos, tanto en términos de tiempo como de dinero.
	Complejidad del entorno tecnológico	La rápida evolución de la tecnología puede dificultar la identificación y gestión de riesgos.

Conclusiones y recomendaciones

La norma ISO/IEC 27001:2022 es esencial para cualquier organización que busque proteger sus
activos de información y cumplir con las regulaciones de seguridad. A través de un enfoque
sistemático y la implementación de un SGSI efectivo, las organizaciones no solo pueden mitigar
riesgos, sino también construir confianza y mejorar su reputación en el mercado. La seguridad de la
información es un proceso continuo que requiere compromiso y adaptabilidad, pero los beneficios a
largo plazo superan con creces los desafíos iniciales.

Referencias bibliográficas

Chávez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC 27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th International Conference on Cloud Computing, Data Science & Engineering, 184-189. https://doi.org/doi: 10.1109/Confluencia60223.2024.10463392.

Diéguez, M., Cares, C., Cachero, C., & Hochstetter, J. (2023). MASISCo—Methodological Approach for the Selection of Information Security Controls. Applied Sciences, 13(2), Article 2. https://doi.org/10.3390/app13021094

International Standard. (2022, octubre). Information security, cybersecurity and privacy protection—Information security management systems—Requirements. ISO. https://www.iso.org/es/contents/data/standard/08/28/82875.html

Kurii, Y., & Opirskyy, I. (2024). Overview of the Cis Benchmarks Usage for Fulfilling the Requirements From International Standard ISO/IEC 27001:2022. Scientific Journal «Computer Systems and Networks», 6(1), 89. https://doi.org/10.23939/csn2024.01.089

Germán Andrés Sánchez Ortegón
Sep, Jue, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Liderazgo en los sistemas de gestión de seguridad de la información

Introducción

El concepto de liderazgo es, sin lugar a dudas, un componente fundamental que influye de manera
significativa en la eficacia general y el éxito de los sistemas de gestión de la seguridad de la información
(SGSI) dentro de varios marcos organizacionales. Es necesario que un liderazgo eficaz, en particular por
parte de la alta dirección, no solo esté presente, sino que también participe de forma activa para garantizar que la seguridad de la información pase a ser una prioridad estratégica, facilitando así su integración en todos los procesos de negocio.

Un estudio realizado por la Asociación Española para la Calidad revela una estadística asombrosa:
aproximadamente el 60% de los incidentes de seguridad se producen como consecuencia directa de un
error humano. Esto sirve para recalcar la importancia tanto del compromiso, como del comportamiento
de los líderes para fomentar una cultura de seguridad sólida y resiliente dentro de sus organizaciones.
(AEC, s. f.)

Los marcos de SGSI que se adhieren a la norma ISO/IEC 27001, reconocida a nivel mundial, se han
adoptado en diversos sectores y regiones para salvaguardar la confidencialidad, la integridad y la
disponibilidad de los activos de información. Estos sistemas están diseñados para ser aplicables a
organizaciones de todos los tamaños, independientemente del sector específico en el que operen o de su
posición geográfica en el escenario mundial (Kurii & Opirskyy, 2023).

Asimismo, un informe publicado por Marketsand Markets prevé que el mercado mundial del SGSI
alcanzará una impresionante valoración de 48 000 millones de dólares en el año 2025, junto con una
importante tasa de crecimiento anual del 13,9% prevista para el período comprendido entre 2020 y 2025.

El papel del liderazgo en el SGSI

La última versión de la norma ISO/IEC 27001:2022 pone un énfasis aún mayor en el papel vital que
desempeña el liderazgo en el funcionamiento efectivo del SGSI. Es esencial que la alta dirección no solo
exprese su compromiso, sino que acepte y cumpla con las responsabilidades específicas que son cruciales para la implementación y el funcionamiento exitosos del sistema de gestión (Podrecca et al., 2022).

Estas responsabilidades incluyen garantizar que la política de seguridad de la información y sus objetivos asociados estén alineados estratégicamente con los objetivos comerciales generales de la organización. Conjuntamente, es necesario integrar los requisitos y mandatos del SGSI en los procesos organizativos más amplios para mejorar la coherencia y la eficacia.

Otra responsabilidad fundamental implica la asignación de recursos suficientes, tanto financieros como
humanos, para facilitar la implementación y el mantenimiento continuo del SGSI. También es imperativo
que la importancia de la seguridad de la información se comunique de manera efectiva a todos los
miembros de la organización, que fomente un entendimiento compartido y una responsabilidad colectiva. Asimismo, la alta dirección debe garantizar que el SGSI logre de manera consistente los resultados y objetivos previstos que se han establecido (Izquierdo, 2023).

Funciones y desafíos de liderazgo

Para ejercer un liderazgo efectivo en el ámbito de la seguridad de la información, la alta dirección debe
adoptar un enfoque multifacético que abarque varios comportamientos y prácticas clave. Deben predicar
con el ejemplo, demostrando de manera efectiva a través de sus propias acciones y comportamientos la
importancia primordial de la seguridad y la protección en el contexto organizacional.

Al mismo tiempo, es crucial que los líderes escuchen activamente a su personal sobre el terreno y se
relacionen con él, dedicándose el tiempo necesario para comprender las realidades y los desafíos a los que se enfrentan los empleados en el día a día. Reconocer y valorar las prácticas de seguridad ejemplares es esencial, ya que promueve una cultura de equidad y rendición de cuentas (Organismo Internacional de Energía Atómica, s. f.).

Los líderes tienen la tarea de proporcionar los recursos técnicos y organizativos necesarios para
implementar controles de seguridad efectivos en toda la organización. Cultivar un espíritu de equipo
orientado a la seguridad y arraigado en el respeto mutuo también es un aspecto vital del liderazgo efectivo (Reyes Chacón et al., 2021).

Sin embargo, los líderes se enfrentan a varios desafíos importantes que pueden obstaculizar su eficacia en este ámbito. Uno de los principales, es la necesidad de mantener la seguridad de la información como una prioridad continua, particularmente ante las presiones empresariales contrapuestas que compiten por la atención y los recursos.

La comunicación efectiva del valor inherente de la seguridad, a las partes interesadas que pueden carecer de experiencia técnica, es otro obstáculo que los líderes deben superar. Igualmente, atraer y retener talento especializado en el campo de la ciberseguridad, plantea un desafío importante, especialmente en un mercado laboral cada vez más competitivo. Por último, los líderes deben demostrar agilidad y adaptabilidad para responder al panorama en constante evolución de las amenazas a las que se enfrentan las organizaciones, lo que requiere un enfoque proactivo en lugar de reactivo en la gestión de la seguridad (Certification & Webmaster, 2020).

Conclusiones y reflexiones finales

El liderazgo representa un elemento fundamental crucial que contribuye a la eficacia de los SGSI, así
como al establecimiento y mantenimiento de una cultura de seguridad resiliente dentro de una
organización. Es fundamental garantizar que la estrategia de seguridad se alinee meticulosamente con los objetivos empresariales generales de la organización y, al mismo tiempo, se comunique con la máxima claridad a todas las partes interesadas pertinentes. Se debe desarrollar y promover activamente políticas de seguridad integrales que se adapten cuidadosamente al contexto específico y a las circunstancias únicas de la organización en cuestión.

El personal directivo superior debe participar activamente en los procesos de gestión de riesgos y en las
actividades de toma de decisiones relacionadas con las cuestiones relacionadas con la seguridad,
reforzando así su compromiso con estas áreas críticas. Es esencial fomentar una cultura organizacional
que haga hincapié en la confianza y el aprendizaje continuo; en ese entorno, las prácticas ejemplares se
reconocen y recompensan, mientras que los errores se someten a un análisis justo y constructivo.

Referencias bibliográficas

Asociación Española para la Calidad (AEC). (s. f.). AEC. Recuperado 3 de septiembre de 2024, de
https://www.aec.es/conocimiento/conocimiento-aec/
Certification, G., & Webmaster, A. (2020, diciembre 18). 5 claves para el liderazgo en los sistemas de gestión. Global Standards. https://www.globalstd.com/blog/5-claves-para-el-liderazgo-en-los-sistemas-de-gestion/

Izquierdo Pomalazo, J. E. (2023). Implementación de un SGSI bajo la norma ISO/27001 para la gestión de la seguridad de la información en la Comunidad Campesina San Antonio, 2023. Repositorio Institucional – UTP. http://repositorio.utp.edu.pe/handle/20.500.12867/8440

Kurii, Y., & Opirskyy, I. (2023). Analysis of changes and compliance features of the new version of the standard. Cybersec, 3, 46-55. https://doi.org/10.28925/2663-4023.2023.19.4655

Organismo Internacional de Energía Atómica. (s. f.). Liderazgo y gestión en relación con la seguridad tecnológica y física | OIEA. Recuperado 3 de septiembre de 2024, de https://www.iaea.org/es/temas/liderazgo-y-gestion-en-relacion-con-la-seguridad-tecnologica-y-fisica

Podrecca, M., Culot, G., Nassimbeni, G., & Sartor, M. (2022). Information security and value creation: The performance implications of ISO/IEC 27001—ScienceDirect. ScienceDirect, 142, 103744. https://doi.org/10.1016/j.compind.2022.103744

Reyes Chacón, D. A., Cadena López, A., & Rivera González, G. (2021). El Sistema de Gestión de Calidad y su relación con la innovación. INTER DISCIPLINA, 10(26), 217. https://doi.org/10.22201/ceiich.24485705e.2022.26.80975

Germán Andrés Sánchez Ortegón
Sep, Lun, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001

Marco regulatorio sobre Seguridad de la Información en Colombia

Introducción

La seguridad de la información representa un componente fundamental en el avance y la transformación de la sociedad contemporánea, en la que la información se ha convertido en un activo de gran valor (Sánchez & R, 2001). En Colombia, el panorama regulatorio que rodea a la seguridad de la información se ha fortalecido significativamente en los últimos años, caracterizado por la promulgación de leyes y regulaciones fundamentales destinadas a salvaguardar los datos personales y mantener la integridad de los sistemas de información.

La ley 1581 de 2012 establece las estipulaciones generales para la protección de los datos personales,
reforzando los derechos constitucionales de las personas a acceder, modificar y corregir la información que se ha recopilado sobre ellos (Logo.gov, s. f.; UNIR, 2024). Por otro lado, la Ley 1273 de 2009 introduce una nueva entidad legal protegida denominada «protección de la información y los datos», salvaguardando así los sistemas que emplean tecnologías de la información y la comunicación (UNAD, 2020).

Los decretos complementarios, como el 1377 de 2013 y el 338 de 2022, mejoran aún más el marco regulatorio al instituir disposiciones sobre el consentimiento del propietario de los datos para procesar sus datos personales, la gobernanza de la seguridad digital y la delineación de conceptos esenciales, como un incidente de seguridad digital y una infraestructura cibernética crítica(Gov.co, s. f.-b).

Seguridad de la Información

La información producida, difundida y existente en todos los contextos, es considerada como un bien de
incalculable valor para el desarrollo y la evolución de las diferentes instancias de la sociedad. Es la presencia, la manipulación, el intercambio y uso, lo que la define y la convierte en una ventaja o desventaja, generando mayor o menor igualdad de oportunidades entre los individuos, grupos u organizaciones, según signifiquen, para ellos, un peligro o una oportunidad (Sánchez & R, 2001).

La Seguridad de la Información la definen autores como Cuevas, (2024), como el grado, nivel o conjunto de medidas que garanticen la protección de la información, tanto de los propios sistemas como los contenidos; protección necesaria a lo largo del ciclo de vida de la información, y que debe asegurarse frente a una amplia diversidad de amenazas y posibles peligros de diferente naturaleza, tratando de evitar el acceso, pérdida, interrupción o alteración y aprovechamiento no permitido de los sistemas de información o de la información que contienen.

Esto se enmarca en ámbito de dominio de la seguridad del sistema de información, que, dentro del contexto general de seguridad, conforma un aspecto estratégico emergente, ya que se refiere a la protección de la información que, reunida y procesada por el sistema de información de la organización, ya sea en forma manual o mediante una infraestructura computacional, incorpora los procedimientos, sistemas y recursos asociados. Lo cual implica una asociación de la seguridad con aspectos no sólo tecnológicos, sino organizacionales, humanos, económicos, accesibilidad, confidencialidad, aspectos referentes a la gestión y continuidad del negocio, cumplimiento regulatorio de desarrollo normativo, ético, entre otros (FCA, 2024).

Normativas y leyes principales sobre Seguridad de la Información en Colombia

La seguridad de la información en Colombia posee desafíos y diversidad de retos, no solo para el gobierno, sino también para las empresas y la sociedad en general. Asimismo, existen muchos puntos críticos que demandan atención urgente; sin embargo, se destacan los más relevantes, como la formación, capacitación y especialización de mano de obra calificada y la adopción del marco regulatorio vigente, a fin de seguir creciendo en materia de seguridad de la información. En ese sentido, Colombia cuenta con un marco regulatorio en seguridad de la información y transacciones electrónicas alineado a los estándares internacionales, que abarca riesgos y normativas en seguridad informática, como la puesta en marcha y disponibilidad de la información.

Colombia cuenta con varias leyes y normativas clave que rigen la protección de datos personales y la
seguridad de la información en el país. Algunas de las más importantes son:

Leyes y normativas	Contenido
Ley 1581 de 2012 (Logo.gov, s. f.; UNIR, 2024)	Es la normativa principal que establece disposiciones generales para la protección de datos personales en Colombia. Algunos puntos clave de esta ley son: – Desarrolla el derecho constitucional de las personas a conocer, actualizar y rectificar la información que se haya recogido sobre ellas en bases de datos o archivos. – Aplica a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades públicas o privadas. – Crea obligaciones para las personas naturales y jurídicas responsables y encargadas del tratamiento de datos personales. – Otorga a la Superintendencia de Industria y Comercio la función de vigilancia y sanción para garantizar la legalidad en el tratamiento de datos personales.
Ley 1273 de 2009 – Protección de la Información y los Datos (UNAD, 2020).	Esta ley crea un nuevo bien jurídico tutelado denominado «de la protección de la información y de los datos» y preserva integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones.
Decreto 1377 de 2013 – Reglamentación Parcial de la Ley 1581 (Gov.co, s. f.-b).	Este decreto reglamentó parcialmente la Ley 1581 de 2012, estableciendo disposiciones relacionadas con la autorización del titular para el tratamiento de sus datos personales, las políticas de tratamiento de los responsables y encargados, el ejercicio de los derechos de los titulares, las transferencias de datos personales y la responsabilidad demostrada frente al tratamiento de datos.
Decreto 338 de 2022 – Gobernanza de la Seguridad Digital (Gov.co, s. f.-a).	Este decreto establece el Sistema Nacional de Seguridad Digital, definiendo conceptos clave como gobernanza de la seguridad digital, incidente de seguridad digital e infraestructura crítica cibernética. También define las funciones del Comité Estratégico de Seguridad Digital.

Estas leyes y decretos conforman el marco legal que rige la protección de datos personales y la seguridad de la información en Colombia, estableciendo derechos, obligaciones y mecanismos de control para garantizar la adecuada gestión de la información en el país.

Conclusiones y recomendaciones finales

La información es un activo fundamental para el progreso socioeconómico, por lo que es necesario protegerla para fomentar la igualdad de oportunidades y la confianza institucional. Colombia ha instituido un aparato regulatorio integral, ejemplificado por la Ley 1581 de 2012 y la Ley 1273 de 2009, que protegen los datos personales y mejoran la seguridad de la información, alineándose con los puntos de referencia mundiales. No obstante, a pesar de los avances, persisten obstáculos, incluido el imperativo de la educación en ciberseguridad y la aplicación efectiva de las regulaciones, obstaculizados por la escasez de personal calificado en seguridad de la información, lo que subraya la necesidad de un compromiso institucional continuo y una colaboración social para reforzar la resiliencia de la ciberseguridad.

Referencias bibliográficas

Cuevas, A. (2024). Estructura Organizacional en la Seguridad de la Información. Tecnec one. https://blog.tecnetone.com/estructuraorganizacional-en-la-seguridad-de-la-informaci%C3%B3n

FCA. (2024). Objetivos De Seguridad De La Información De Una Organización. Financial Crime Academy.
https://financialcrimeacademy.org/es/objetivos-de-seguridad-de-la-informacion-de-una-organizacion/

Gov.co. (s. f.-a). Decreto 338 de 2022—Gestor Normativo—Función Pública. Recuperado 27 de agosto de 2024, de https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=181866

Gov.co. (s. f.-b). Protección de datos personales | MINCIT – Ministerio de Comercio, Industria y Turismo. Recuperado 27 de agosto de 2024, de https://www.mincit.gov.co/minindustria/estrategia-transversal/regulacion/proteccion-de-datos-personales

Logo.gov. (s. f.). Ley 1581 de 2012—Gestor Normativo—Función Pública. Recuperado 27 de agosto de 2024, de https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981

Sánchez, A., & R, I. (2001). La importancia social de la información. ACIMED, 9(3), 221-223. http://scielo.sld.cu/scielo.php script=sci_abstract&pid=S102494352001000300007&lng=es&nrm=iso&tlng=es

UNAD, W. (2020, agosto 13). Leyes Informáticas. Universidad Nacional Abierta y a Distancia UNAD – Educación Virtual. https://gpit.unad.edu.co/seguridad-de-la-informacion/leyesinformaticas

UNIR. (2024). Ley de protección de datos en Colombia: Claves y regulación. Universidad Virtual. | UNIR Colombia – Maestrías y Grados virtuales. https://colombia.unir.net/actualidad-unir/ley-proteccion-datos/

Germán Andrés Sánchez Ortegón
Ago, Mar, 2024

GOBERNANZA DE LAS TIC , Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001

Análisis del contexto organizacional en los SGSI

Introducción

La seguridad de la información se ha convertido en un pilar fundamental para lograr la estabilidad y
el éxito en las organizaciones del mundo. Las crecientes amenazas de ciberataques, fuga de datos
confidenciales y las interrupciones en los servicios han subrayado la necesidad imperante de
salvaguardar la integridad, confidencialidad y la disponibilidad de la información.

Esto destaca la importancia del Sistema de Gestión de Seguridad de la Información (SGSI) en el
marco de las operaciones organizacionales. El análisis del contexto organizacional desempeña un
papel fundamental en la determinación de la eficacia general de SGSI, ya que tiene una influencia
directa en los procesos de toma de decisiones estratégicas y la asignación de recursos dentro de
una organización (Daneshmandnia, 2023).

El establecimiento de un marco de gobernanza de la seguridad claramente articulado que esté
armonizado con los objetivos generales de la organización mejora significativamente la calidad de las
decisiones relacionadas con la seguridad, y va más allá de la mera implementación de medidas de
mitigación de riesgos y mecanismos de control. Realizar una evaluación exhaustiva del contexto
organizacional es imprescindible para lograr una gestión de riesgos eficaz, ya que esta evaluación
ayuda a identificar las posibles vulnerabilidades y garantiza que las políticas de seguridad estén
alineadas estratégicamente con los objetivos empresariales más amplios (Santos et al., 2022).

Contexto de la organización según la norma ISO/IEC 27001:2022

Una comprensión profunda del contexto de la organización es indispensable para la implementación
exitosa de un SGSI, tal como se describe en la norma ISO/IEC 27001:2022, que se alinea
estrechamente con las normas ISO 31000 que rigen la gestión de riesgos.

La fase inicial del desarrollo sistemático de un SGSI se basa fundamentalmente en la identificación y
determinación exhaustivas de los «desafíos» o «problemas» internos y externos a los que se
enfrenta actualmente la organización dentro de su marco operativo. Este paso crucial implica un
análisis y una evaluación de los diversos factores que pueden afectar negativamente al desempeño y
la postura de seguridad de la organización en relación con la gestión y la protección de la
información.

Esta norma fomenta un enfoque estructurado para cumplir los requisitos articulados en el capítulo
5.3, haciendo hincapié en la importancia de distinguir y reconocer los contextos internos y externos
que podrían influir en los objetivos de la organización y en su capacidad para lograr los resultados
deseados del SGSI(«El contexto de la Organización – ISO 27001 – Como cumplir el requisito», s. f.)

Contexto interno

De acuerdo con los estándares establecidos por la norma ISO/IEC 27001:2022, el término «contexto
interno» de una organización abarca una amplia gama de factores y circunstancias que tienen el
potencial de influir significativamente en la capacidad de la organización para alcanzar con éxito los
objetivos establecidos para su SGSI. Este contexto particular se describe detalladamente en la
cláusula 4.1 de la norma antes mencionada, y es fundamentalmente crucial para la implementación
efectiva y exitosa del marco del SGSI dentro de la organización (ESGinnova, 2022).

Los principales componentes que constituyen el contexto interno son la estructura organizacional,
que abarca la intrincada jerarquía y distribución de roles, responsabilidades y autoridad dentro de la
organización. Un conocimiento profundo de cómo se organiza sistemáticamente la empresa es
fundamental para identificar a las personas o grupos que tienen la responsabilidad de supervisar y
garantizar el cumplimiento de los protocolos de seguridad de la información.

Los objetivos generales y la dirección estratégica de la organización pueden tener un efecto profundo
en la manera en que se identifican, evalúan y administran los riesgos de seguridad de la información.
Es de suma importancia garantizar que el SGSI esté alineado de manera efectiva con los objetivos
estratégicos y la dirección operativa de la organización para facilitar un enfoque coherente de la
gestión de riesgos (Solutions, 2023).

Los recursos disponibles abarcan los recursos humanos, tecnológicos y financieros que la
organización tiene a su disposición para la implementación de las medidas de seguridad. La
disponibilidad, la calidad y la competencia de estos recursos influirán directamente en la capacidad
de la organización para implementar, administrar y mantener el SGSI de manera efectiva a lo largo
del tiempo.

La cultura que impregna la organización, incluidos sus valores fundamentales, creencias y normas
de comportamiento, puede tener un impacto significativo en la aceptación y la eficacia generales de
las políticas e iniciativas de seguridad de la información que se pongan en marcha. Una cultura
organizacional positiva puede aumentar la probabilidad de que los empleados cumplan con éxito las
políticas.

Por su parte, las políticas y los procedimientos operativos existentes actualmente en la organización
son fundamentales para comprender cómo se gestionan los riesgos en la actualidad y cómo se
implementan sistemáticamente las diversas medidas de seguridad para mitigarlos. Además, las
relaciones y los acuerdos con los proveedores, vendedores y socios pueden introducir riesgos de
seguridad que requieren una consideración cuidadosa en el contexto interno, especialmente en los
casos en que estas partes externas tienen acceso a información confidencial o privada que
pertenece a la organización (Escuela Europea de excelencia, 2024).

Contexto externo

El contexto externo abarca una amplia gama de factores y circunstancias que existen fuera de la
propia organización, y estos elementos pueden influir significativamente en su capacidad para
alcanzar con éxito los objetivos asociados con el SGSI. Es imperativo que las organizaciones tengan
en cuenta las leyes y reglamentos pertinentes a su sector específico, además de los diversos
estatutos de protección de datos y normas de seguridad de la información que están obligadas a
cumplir para garantizar el cumplimiento y mitigar los riesgos legales (Herrera, 2024).

Las condiciones económicas imperantes, que pueden abarcar aspectos como las tasas de inflación,
la dinámica de crecimiento del mercado y el nivel de competencia dentro de la industria, que
desempeñan un papel fundamental a la hora de determinar cómo una organización asigna sus
recursos y gestiona los riesgos de seguridad asociados que surgen de estos factores económicos.

Diversas tendencias sociales, culturales y demográficas tienen el potencial de moldear las
expectativas de las partes interesadas, influyendo así en la manera en que la organización se
relaciona con estos diversos grupos y adapta sus comunicaciones y servicios para satisfacer sus
necesidades cambiantes (ESGinnova, 2022).

El rápido ritmo de los avances tecnológicos y las innovaciones que se producen en el panorama del
mercado puede presentar simultáneamente oportunidades de crecimiento y riesgos para la
seguridad; por lo tanto, las organizaciones deben permanecer atentas e informadas sobre las
tecnologías emergentes que podrían tener implicaciones significativas para su SGSI.

Las relaciones con las partes interesadas implican la identificación y la comprensión de las diversas
necesidades y expectativas de clientes, proveedores, socios y organismos reguladores, ya que estas
relaciones son fundamentales para la implementación exitosa del SGSI, dado que pueden afectar
profundamente la reputación de la organización y el nivel de confianza que las partes interesadas
depositan en ella.

El proceso de identificar los riesgos externos que podrían socavar la seguridad de la información, así
como reconocer las oportunidades que pueden surgir de los cambios en el panorama ambiental, es
esencial para la planificación estratégica y el desarrollo continuo del SGSI, garantizando que la
organización no solo proteja su información, sino que también aproveche las condiciones favorables
para el crecimiento(Escuela Europea de excelencia, 2024).

Conclusiones y reflexiones finales

Una comprensión integral de los contextos internos y externos es esencial para administrar de
manera efectiva los riesgos de seguridad de la información, ya que incorpora las reglas, las pautas y
los modelos adoptados por la organización y define la naturaleza y el alcance de las relaciones
contractuales que son parte integral del marco operativo de la organización.

Es muy importante reconocer hasta qué punto los factores internos y externos pueden afectar la
seguridad de la información y la eficacia general de la organización, particularmente a la luz de las
diversas y dinámicas influencias de los diversos agentes que caracterizan el entorno operativo de la
organización, que pueden incluir la gobernanza, la cultura organizacional y las relaciones
contractuales, entre otros.

Referencias bibliográficas

Daneshmandnia, A. (2023). Exploring Information Security Processes Effectiveness in Educational Institutions: Impacts of Organizational Factors). 2023 IEEE Asia-Pacific Conference on Computer Science and Data Engineering (CSDE), 1-6. https://doi.org/10.1109/CSDE59766.2023.10487771

El contexto de la Organización—ISO 27001—Cómo cumplir el requisito. (s. f.). Norma ISO 27001. Recuperado 19 de agosto de 2024, de https://www.normaiso27001.es/fase-2-analisis-del-contexto-de-la-organizacion-y-determinacion-del-alcance/

Escuela Europea de excelencia. (2024). Cómo definir el contexto de la organización según ISO 27001 (actualizado a ISO 27001:2022). https://www.escuelaeuropeaexcelencia.com/2024/07/como-definir-el-contexto-de-la-organizacion-segun-iso-27001-actualizado-a-iso270012022/

ESGinnova. (2022). Contexto de la organización de la nueva ISO/IEC 27001:2022. https://www.pmg-ssi.com/2022/12/contexto-de-laorganizacion-de-la-nueva-iso-iec-270012022/

Herrera, H. (2024). Comprender el Alcance y el Contexto de la Organización: Primer Paso hacia una Implementación Exitosa de ISO 27001:2022. https://www.hectorherrera.net/2024/06/comprender-el-alcance-y-el-contexto-de.html

Santos, J., Reis, L., & Landum, M. (2022). Risk Management in an Organizational Context. ITEMA 2024. VIa Conferencia Científica Internacional sobre Avances Recientes en Tecnología de la Información, Turismo, Economía, Gestión y Agricultura, Eslovenia. https://doi.org/10.31410/ITEMA.2022.117

Solutions, G. (2023, marzo 20). ¿Qué es la norma ISO 27001 y para qué sirve? GlobalSuite Solutions.
https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/

Germán Andrés Sánchez Ortegón
Ago, Dom, 2024

GOBERNANZA DE LAS TIC , Seguridad de la información ISO IEC 27001 , TRANSFORMACIÓN DIGITAL ORGANIZACIONAL

¿Por qué la información debe asegurarse en el contexto de la Transformación Digital?

Introducción

Las organizaciones que han adoptado la transformación digital han hecho hincapié en que la utilización de nuevas tecnologías digitales les ha permitido recopilar y utilizar datos, lo que facilita la adquisición de conocimientos, perspectivas y comprensión dentro de su marco operativo. Además, estas organizaciones mejoraron significativamente su ventaja competitiva en comparación con aquellas entidades que no han emprendido iniciativas sustanciales de transformación digital.

Sin embargo, se ha argumentado que para cosechar los beneficios asociados con la transformación digital es necesaria una planificación meticulosa y una ejecución eficaz de las estrategias destinadas a permitir la integración perfecta de las tecnologías digitales con el panorama organizacional existente. En vista de esto, los académicos han identificado varias áreas críticas que exigen atención y resolución en el ámbito de la transformación digital.

La mayoría de los obstáculos son multifacéticos y abarcan aspectos tecnológicos, organizativos y de gestión. Entre estos desafíos, un problema frecuente que ha surgido en numerosos esfuerzos de transformación digital, se refiere al ámbito de la seguridad de la información (Leng & Qi, 2022). La creciente dependencia de la tecnología de la información (TI) en varios ámbitos operativos ha hecho que las organizaciones sean vulnerables a las ciberamenazas y a las brechas en la seguridad de la información, lo que subraya la necesidad imperiosa de abordar estas vulnerabilidades de manera eficaz.

Principales desafíos respecto a la seguridad de la información

La información es uno de los activos más valiosos de una empresa. La gestión adecuada de la seguridad de la información garantiza que los datos sensibles, como información financiera, datos de clientes y propiedad intelectual, estén protegidos contra accesos no autorizados. Esto no solo previene el robo de datos, sino que ayuda a mantener la confianza del cliente y la reputación de la empresa pues las brechas de seguridad, pueden resultar en pérdidas financieras significativas.

Según lo investigado por Gebremeskel et al.,(2023), los principales desafíos asociados a la seguridad de la información se pueden resumir de la siguiente manera:

Preocupaciones financieras	Las organizaciones muchas veces pasan por alto los recursos financieros necesarios para capacitar a sus empleados, ajustar sus procesos de trabajo, preparar manuales y actualizar sus políticas. Además, la responsabilidad financiera cuando se producen violaciones de seguridad también se ha convertido en un desafío.
Riesgo de violación de la seguridad	Aunque la violación de la seguridad de la información es una tarea desafiante para muchas organizaciones, es un área importante que debe gestionarse. Aquellos que ven comprometida la seguridad de su información han sufrido importantes pérdidas económicas y de reputación. Aunque la gestión de la seguridad de la información ha sido debatida desde la introducción de las TI en las organizaciones, los profesionales todavía están aprendiendo lo que implica.
Acceso y control reducidos y productividad reducida	A medida que aumenta el riesgo de violaciones de la seguridad de la información, las organizaciones deben articular algunos controles para mitigar los riesgos. Esto ha conllevado un coste de acceso y control reducidos. Estas medidas de seguridad de la información reducen la productividad y las posibles colaboraciones.
Falta de experiencia	Aunque la gestión de la seguridad de la información es una tarea de enormes proporciones para todas las organizaciones, la literatura sugiere que las pequeñas y medianas empresas (PYME) u otras empresas con recursos limitados tienen dificultades para hacer frente a los desafíos de seguridad. La falta de recursos afecta principalmente a los expertos en seguridad de la información. Esto ha llevado a que muchos proyectos se suspendan hasta que se contrate a personas con experiencia.
Necesidades de gestión de seguridad dinámica	Una de las naturalezas evasivas de la gestión de seguridad de la información es que las necesidades de seguridad cambian constantemente. A medida que las organizaciones ascienden en la escalera de madurez de la transformación digital, se hace evidente la necesidad de una gestión compleja de la seguridad de la información. las medidas de seguridad de la información deben actualizarse a medida que las nuevas tecnologías presentan nuevos desafíos.

Marcos regulatorios y otros asuntos de interés

Según la investigación desarrollada por Ramírez Cuenca, (2023), la mayoría de las normativas relativas a la protección de datos personales, en muchos de los estados de Latinoamérica, data de hace más de 10 o 20 años y resultan insuficientes frente al actual estado de la tecnología y las necesidades de esta era. Dada esta circunstancia, varios países latinoamericanos, como Chile y la Argentina, buscan regular, reformular y actualizar sus normas vigentes, mientras que otros continúan estáticos.

Los ejes temáticos principales que se encuentran en discusión actualmente son muy diversos y se podrían resumir a grandes rasgos en los siguientes:

Regulación del tráfico de información a través de internet.
Traspaso internacional de datos.
Huella digital.
Tecnologías de procesamiento de datos a gran escala.
Reevaluación de métodos de protección de datos y acceso a la justicia.
Descentralización de tratamiento de la información y de autoridades a cargo del control.
Primacía del consentimiento de los titulares de datos.

En la era contemporánea de avances tecnológicos, ha habido un aumento notable en la cantidad de regulaciones que rigen la protección de datos, ejemplificado por la promulgación de leyes como la Ley de Protección de Datos Personales. En consecuencia, se ha vuelto imperativo que las empresas tomen medidas que garanticen la alineación de sus protocolos de seguridad de la información con estas estrictas regulaciones. Esta postura proactiva no solo sirve para proteger a las organizaciones de posibles ramificaciones legales, sino que funciona como un medio para mejorar el nivel de confianza y credibilidad del que disfrutan tanto con sus clientes como con sus socios comerciales (Anquor, 2023).

El panorama de los consumidores modernos es testigo de un mayor nivel de conciencia sobre la importancia de proteger los datos. Las empresas que muestran una firme dedicación a la protección de los activos de información pueden cultivar un sentido de confianza entre su base de clientes, lo que fomenta la lealtad y aumenta las tasas de retención de clientes (ICSI, 2022). Además, la práctica de mantener la transparencia en las estrategias de seguridad puede ser un factor diferenciador fundamental en un mercado caracterizado por una competencia feroz.

Conclusiones y reflexiones finales

El proceso de transformación digital implica la asimilación de tecnologías novedosas como la inteligencia artificial y el Internet de las cosas (IoT) en los marcos organizativos. Cada una de estas tecnologías emergentes presenta su propio conjunto de complejidades y desafíos de seguridad. En consecuencia, es imperativo que las organizaciones adopten un enfoque preventivo para identificar y contener los riesgos asociados a estas innovaciones, garantizando así que sus mecanismos de seguridad de la información evolucionen a la par con el progreso tecnológico.

El ámbito de la seguridad de la información es un pilar fundamental en el ámbito de la transformación digital. Más allá de la mera protección de los valiosos activos de una empresa y la prevención de las responsabilidades financieras, desempeña un papel crucial a la hora de garantizar el cumplimiento de las normas reglamentarias, reforzar la confianza de los clientes y permitir una adaptación perfecta a las tecnologías de vanguardia. Las organizaciones que dan prioridad a la seguridad de la información se encuentran mejor posicionadas para aprovechar las innumerables oportunidades que surgen de la mano del proceso de transformación digital.

Referencias bibliográficas

Anquor. (2023). La actual importancia de la ciberseguridad en las empresas. https://anquorcf.com/nuestro-blog/la-actual-importancia-de-la-ciberseguridad-en-las-empresas/

Gebremeskel, B. K., Jonathan, G. M., & Yalew, S. D. (2023). Information Security Challenges During Digital Transformation. Procedia Computer Science, 219, 44-51. https://doi.org/10.1016/j.procs.2023.01.262

ICSI. (2022). La seguridad en la toma de decisiones | Icsi. https://www.icsi-eu.org/es/revista/seguridad-en-la-toma-de-decisiones

Leng, J., & Qi, X. (2022). Decisiones de Seguridad de la Información de las Empresas en el Contexto de la Transformación Digital—Publicación de la Conferencia de la EIE – IEEE Xplore. IEEE 13a Conferencia Internacional sobre Ingeniería de Software y Ciencias del Servicio (ICSESS), Pekin, China. https://doi.org/10.1109/ICSESS54813.2022.9930222

Ramírez Cuenca, F. (2023). Panorama y tendencias legislativas sobre la Protección de Datos en Países de LATAM. https://www.welivesecurity.com/es/privacidad/panorama-proteccion-datos-paises-latam/

Germán Andrés Sánchez Ortegón
Ago, Dom, 2024

GOBERNANZA DE LAS TIC , Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS , SISTEMAS DE GESTIÓN NORMALIZADOS

Importancia de los SGSI ISO 27 001: 2022

Introducción

Durante el año 2016, el 55,51% de los sistemas informáticos fueron víctimas de códigos maliciosos y virus, lo que supuso una amenaza importante para numerosas organizaciones (G & Suroso, 2022). El aumento de la frecuencia y la complejidad en los últimos años de las ciberamenazas, junto con las estrictas exigencias regulatorias, destacan la necesidad crucial de un enfoque sólido y estandarizado de la seguridad de la información. La ISO 27001: 2022 ofrece un marco integral que permite a las organizaciones, identificar, evaluar y controlar metódicamente los riesgos de seguridad de la información.

La ISO 27001: 2022 se destaca por ser un marco que se puede adecuar y ajustar para adaptarse a los requisitos y circunstancias específicos únicos de cada sector industrial. Además, se puede integrar con otros sistemas de gestión, como los de calidad, riesgo o continuidad empresarial. La ISO 27001: 2022 goza de reconocimiento mundial como norma que proporciona un enfoque metódico y global para gestionar la seguridad de la información (Ewuga et al., 2023).

Según la investigación realizada por Chavez et al., (2024), la implementación de la norma ISO 27001: 2022 mejora la seguridad de la información al aumentar los controles de confidencialidad, integridad y disponibilidad, reducir los incidentes, proteger los datos, garantizar la confianza y cumplir con las regulaciones del sector de servicios de Internet. Además, el aumento de los controles de confidencialidad, integridad y disponibilidad después de la implementación, reduce los incidentes de seguridad en las diferentes categorías. No obstante emprender el proceso de obtención de la certificación ISO 27001:2022 requiere un compromiso profundo por parte de toda la organización.

La gestión de riesgos de seguridad de la información y la ISO 27001: 2022

Los riesgos son inherentes a todas las facetas de las operaciones de una organización, incluida la información. Para gestionar los mismos de manera eficaz, una organización debe identificarlos inicialmente, analizar sus implicaciones y determinar la necesidad de mitigar los riesgos para alinearlos con los criterios de riesgo de la organización. La norma ISO 27001:2022 desempeña un papel crucial en los sistemas de gestión de la seguridad de la información (SGSI) dentro de las organizaciones, ya que establece un marco sistemático para proteger la información crítica y gestionar los riesgos asociados (Perez, 2023a).

La investigación realizada por G & Suroso, (2022) plantea que el riesgo derivado de un error humano que ponga en peligro la seguridad de la información de una organización puede mitigarse mediante el establecimiento de una cultura sólida de seguridad de la información, que reduzca así los incidentes o las filtraciones de datos.

Un componente fundamental de una cultura de seguridad de la información eficaz, es contar con una fuerza laboral bien informada y vigilante, que demuestre una conducta cuidadosa y prudente en cumplimiento de las políticas estipuladas por la administración. Las amenazas a los sistemas de información se ciernen de manera inquietante y trascienden las fronteras geográficas, de ahí que se hace necesaria su aplicación, aunque esta adopción también impone desafíos.

Retos en la aplicación de la ISO 27001:2022

La aplicación de esta norma es ideal para garantizar la seguridad de la información, pero puede ser compleja debido a la necesidad de mejoras en los procesos, adaptaciones de roles y un largo proceso de implementación. Las organizaciones más pequeñas, como las pequeñas y medianas empresas, a menudo luchan por pagar los gastos asociados. El cambio hacia una mentalidad de seguridad de la información, requiere una transformación en la forma en que se percibe la seguridad dentro de la cultura organizacional (Mera-Amores & Roa, 2024).

La seguridad no debe verse simplemente como un requisito obligatorio, sino como un facilitador de los negocios, que mejora la confianza de los clientes y proveedores. Este cambio cultural es imprescindible para garantizar que todos los empleados adopten medidas de seguridad proactivas en sus actividades diarias. La resistencia de los empleados al cambio, puede representar un obstáculo formidable, ya que los miembros del personal pueden percibir la introducción de nuevas políticas y procedimientos de seguridad, como una carga adicional (Perez, 2023b).

Es esencial involucrar a los empleados de todos los niveles de la organización durante la fase de implementación para minimizar la resistencia y fomentar una transición más fluida a los nuevos protocolos de seguridad.

La norma aboga por la mejora continua, por lo que las organizaciones deben revisar y mejorar periódicamente sus políticas y procedimientos. Este proceso continuo puede ser un desafío, ya que requiere un compromiso y una asignación de recursos sostenidos para mantener la eficacia del SGSI a lo largo del tiempo (Baena et al., 2019). A pesar de estos importantes desafíos, pueden superarse mediante una planificación minuciosa, la asignación de recursos y un compromiso dedicado con la seguridad de la información ya que estos esfuerzos pueden verse recompensados con múltiples beneficios.

Importancia y beneficios de adoptar la norma ISO 27000

Adoptar la norma ISO 27001: 2022 no solo ayuda a mitigar los riesgos, sino que también mejora la confianza de los clientes y la eficiencia operativa a largo plazo. Puede ser una herramienta valiosa para gestionar la seguridad de la información sin incurrir en costes sustanciales (Mera-Amores & Roa, 2024).

Ofrece una metodología bien estructurada para reconocer, evaluar y controlar los riesgos de seguridad de la información. Esto permite a las organizaciones implementar las medidas adecuadas para mitigar las posibles amenazas, lo que es particularmente vital en un entorno cada vez más digitalizado. Ayuda a cumplir con diversas normativas y mandatos legales, relacionados con la protección de datos, como el Reglamento General de Protección de Datos (GDPR). Esto es especialmente pertinente para las entidades que operan en sectores muy regulados, como el financiero y el sanitario, donde el incumplimiento puede conllevar sanciones severas.

También fomenta una cultura de mejora continua en la gestión de la seguridad de la información, lo que permite a las organizaciones adaptarse a los nuevos riesgos y a las tecnologías emergentes. Esta postura proactiva contribuye a reforzar la postura de seguridad de forma gradual con el tiempo. Como consecuencia, al mostrar la dedicación de una organización a la seguridad de la información, se mejora la confianza de los clientes, los socios comerciales y otras partes interesadas; por lo que se puede generar notables ventajas competitivas en el mercado.

Entre otros beneficios, se pueden agilizar los procesos internos, reducir los costos relacionados con los incidentes de seguridad y aumentar la productividad al delinear las funciones y responsabilidades en la gestión de los riesgos de la información. Identificar y proteger sus activos de información más valiosos, garantizando la confidencialidad, la integridad y la disponibilidad de los datos, que son vitales para mantener las operaciones comerciales.

Conclusiones y reflexiones finales

La implementación de la norma ISO 27001: 2022, no solo mejora la seguridad de la información al aumentar los controles de confidencialidad, integridad y disponibilidad, sino que también reduce los incidentes de seguridad y ayuda a cumplir con regulaciones sectoriales. Sin embargo, su adopción requiere un compromiso organizacional profundo y un cambio cultural que valore la seguridad como un facilitador del negocio, en lugar de un mero requisito. Los retos asociados a la implementación de la norma, como la resistencia al cambio y los recursos limitados, pueden ser superados mediante una planificación adecuada y la participación activa de todos los niveles de la organización. Esta norma no solo mitiga riesgos, sino que también fortalece la confianza de clientes y socios, mejora la eficiencia operativa y proporciona una ventaja competitiva en un entorno empresarial cada vez más digitalizado y regulado.

Referencias bibliográficas

Chavez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC

27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th

International Conference on Cloud Computing, Data Science & Engineering (Confluence), 184-189. https://doi.org/10.1109/Confluence60223.2024.10463392

Ewuga, S. K., Egieya, Z. E., Omotosho, A., & Adegbite, A. O. (2023). ISO 27001 IN BANKING: AN EVALUATION OF ITS IMPLEMENTATION AND EFFECTIVENESS IN

ENHANCING INFORMATION SECURITY. Finance & Accounting Research Journal,

5(12), Article 12. https://doi.org/10.51594/farj.v5i12.684

G, K. W. N., & Suroso, J. S. (2022). Analysis of Risk Management Information System

Applications Using Iso/Iec 27001:2022. Syntax Literate ; Jurnal Ilmiah Indonesia, 7(11),

18372-18391. https://doi.org/10.36418/syntax-literate.v7i11.15426

Mera-Amores, F., & Roa, H. N. (2024). Enhancing Information Security Management in Small and Medium Enterprises (SMEs) Through ISO 27001 Compliance. En K. Arai (Ed.),

Advances in Information and Communication (pp. 197-207). Springer Nature

Switzerland. https://doi.org/10.1007/978-3-031-53963-3_14

Perez, P. (2023a, junio 29). Gestión de riesgos y seguridad de la información. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2023/06/gestion-de-riesgos-y-seguridad-de-lainformacion/

Perez, P. (2023b, septiembre 7). Contexto general de la ISO 27000. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2023/09/contexto-general-de-la-iso-27000/

Regina Baena, G., Mendoza Mendez, R. V., & Joel Coronado, E. dorantes. (2019). Importancia de la norma ISO/EIC 27000 en la implementación de un sistema de gestión de la seguridad de la información. contribuciones a la Economía, junio.

https://www.eumed.net/rev/ce/2019/2/norma-iso-eic.html

Todas las entradas de Germán Andrés Sánchez Ortegón

Introducción

Beneficios de certificar tu empresa con ISO 9001:2015

Conclusiones

Introducción

Estructura de la Norma

Conclusiones

Introducción

Cambios clave en la norma

Cambios en las Cláusulas

Cambios en los controles del Anexo A

Nuevos Controles

Enfoque en ciberseguridad y privacidad

Implicaciones para las organizaciones

Conclusiones y recomendaciones finales

Introducción

El potencial transformador de la norma ISO/IEC 27001:2022 para operaciones comerciales

Protección esencial de los datos críticos

Mejorar la reputación y la confiabilidad de los clientes

Beneficios de implementar ISO 27001

Conclusiones y recomendaciones finales

Introducción

¿Qué es la norma ISO/IEC 27001?

¿Por qué es importante la norma ISO/IEC 27001?

Conclusiones y recomendaciones

Introducción

El papel del liderazgo en el SGSI

Funciones y desafíos de liderazgo

Conclusiones y reflexiones finales

Introducción

Seguridad de la Información

Normativas y leyes principales sobre Seguridad de la Información en Colombia

Conclusiones y recomendaciones finales

Introducción

Contexto de la organización según la norma ISO/IEC 27001:2022

Contexto interno

Contexto externo

Conclusiones y reflexiones finales

Introducción

Principales desafíos respecto a la seguridad de la información

Marcos regulatorios y otros asuntos de interés

Conclusiones y reflexiones finales

Introducción

La gestión de riesgos de seguridad de la información y la ISO 27001: 2022

Retos en la aplicación de la ISO 27001:2022

Importancia y beneficios de adoptar la norma ISO 27000

Conclusiones y reflexiones finales

Referencias bibliográficas