GOBERNANZA DE LAS TIC , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Gobernanza de datos: estrategias para una gestión eficiente y segura

Introducción

La gobernanza de datos es un factor indispensable en los marcos operativos de las
organizaciones contemporáneas que aspiran a gestionar eficazmente sus datos y al mismo
tiempo, garantizar la integridad y la seguridad de dichos activos de información. En un entorno
que cambia con rapidez, la información se reconoce como un activo valioso, pues resulta
fundamental que las organizaciones implementen estrategias rigurosas e integrales, que
faciliten la maximización del uso de los datos y garanticen el estricto cumplimiento de los
marcos normativos vigentes (Villa Rodríguez et al., 2024) .

La formulación de un plan de administración de datos integral y efectivo, es un requisito
fundamental para el gobierno de datos. A medida que las empresas generan y supervisan
volúmenes cada vez mayores de datos e información, el establecimiento de un marco claro,
coherente y estructurado para gestionar estos datos, resulta ventajoso y es crucial para el
éxito de la organización.

Importancia de la gobernanza de datos

La gobernanza de datos abarca una amplia gama de procesos, funciones, políticas, estándares
y métricas que, en conjunto, garantizan el uso efectivo, seguro y responsable de los datos
dentro del ecosistema operativo de una organización. La implementación de prácticas de
gobierno sólidas, mejora la calidad y la accesibilidad de los datos y también desempeña un
papel importante a la hora de mitigar los innumerables riesgos asociados con la seguridad y la
privacidad de los datos. De acuerdo con las estipulaciones establecidas en el Reglamento
General de Protección de Datos (GDPR) y otros marcos regulatorios similares, las
organizaciones tienen la obligación de tratar los datos personales con el máximo respeto y en
estricto cumplimiento de las obligaciones legales (REGLAMENTO, 2016) .

Estrategias para una gestión eficiente

Lograr el desarrollo de un plan de gestión de datos sólido resulta esencial para gestionar
adecuadamente los datos. Este debe incluir procedimientos claros sobre cómo se recopilan,
almacenan, protegen y eliminan los datos; y revisiones periódicas para adaptar el plan a las
necesidades cambiantes de la organización. La implementación de sistemas centralizados para
la gestión de datos, permite un acceso más fácil y seguro a la información. Esto reduce el
riesgo de errores y asegura que todos los empleados autorizados tengan acceso a los mismos
datos (FasterCapital, 2024) .

Una seguridad robusta debe ser una prioridad en cualquier estrategia de gobernanza. Esta
debe incluir cifrado de datos tanto en reposo como en tránsito, controles de acceso estrictos
para asegurar que solo el personal autorizado pueda acceder a información sensible y planes
de respuesta ante incidentes para actuar rápidamente en caso de violaciones (Power Data,
s. f.) .

Los empleados deben ser capacitados regularmente en las mejores prácticas relacionadas con
la gestión y seguridad de datos. Esto minimiza el riesgo de errores humanos, y también
asegura que todos estén alineados con las políticas organizacionales (Cookdata, 2024) . Realizar
auditorías y monitoreo continuo ayuda a identificar áreas problemáticas y asegurar que se
cumplan las políticas establecidas. El uso de sistemas SIEM (Gestión de Información y Eventos
de Seguridad) permite monitorear actividades sospechosas en tiempo real (Power Data, s. f.) .

Beneficios Tangibles

Implementar las estrategias mencionadas, mejora la seguridad y también proporciona
beneficios tangibles significativos. En primer lugar, se observa una mejora en la toma de
decisiones, ya que contar con datos organizados y accesibles permite que las decisiones se
basen en información precisa y relevante. Además, se logra una notable reducción del riesgo;
al establecer protocolos claros y medidas preventivas, se minimizan las posibles violaciones o
pérdidas. Por último, el cumplimiento normativo se convierte en un proceso más fluido, lo que
permite a las organizaciones adherirse a regulaciones sin complicaciones adicionales. Estos
beneficios no solo fortalecen la seguridad, sino que optimizan la operatividad general de la
organización (Cookdata, 2024) .

Tabla comparativa

Beneficios de la gobernanza de datos	Problemas ante la falta de gobernanza de datos
Permite el intercambio y la integración de datos entre empresas.	Existe redundancia de datos y de procesos. Las empresas no saben qué pueden y qué no pueden hacer con sus datos.
Facilita la entrega de servicios públicos integrados y proactivos.	Los datos de las empresas son inconsistentes.
Permite que las personas y empresas informen los datos solo una vez.	No existe una visión integrada y consistente de lo que le acontece a cada individuo y a la empresa.
Aumenta la eficiencia de las empresas.	Se le dificulta a las empresas el acceso a los datos existentes.
Habilita la toma de decisiones y la formulación de medidas basadas en evidencias.	No permite innovar en base al uso de datos en poder de las empresas.

Desafíos en la gobernanza de datos

A pesar del desarrollo e implementación de estrategias eficaces, la gobernanza de datos
enfrenta desafíos significativos que pueden comprometer su efectividad. En primer lugar, el
volumen creciente de datos representa un obstáculo considerable; con la generación
constante de información, mantener un control adecuado se vuelve cada vez más complicado.

Además, la evolución tecnológica exige adaptaciones constantes en las estrategias existentes,
lo que puede generar desajustes entre las herramientas disponibles y las necesidades
emergentes. Por último, el cumplimiento normativo es un reto adicional, ya que las
regulaciones están en constante cambio, lo que dificulta el cumplimiento continuo y genera
incertidumbre en la gestión de datos. Estos factores combinados subrayan la complejidad de
establecer una gobernanza de datos robusta y sostenible (SAP, s. f.) .

Conclusiones

El establecimiento de una gobernanza de datos eficaz es absolutamente vital para cualquier
organización que aspire a prosperar en un panorama digital cada vez más complejo y
multifacético. Al adoptar estrategias adecuadas, que pueden incluir el desarrollo de un plan de
gobierno sólido, el establecimiento de sistemas de administración de datos centralizados y la
implementación de medidas de seguridad estrictas, las organizaciones pueden lograr un alto
nivel de eficiencia en sus prácticas de administración de datos y, al mismo tiempo,
salvaguardar la integridad y la seguridad de sus activos de datos. Además, las organizaciones
deben prepararse para hacer frente a los desafíos actuales mediante la realización de
auditorías periódicas y programas integrales de capacitación del personal, garantizando así que
sus prácticas de administración de datos sigan siendo eficientes y seguras frente a un entorno
digital en constante evolución.

Referencias Bibliográficas

Cookdata. (2024, abril 12). Control y gestión de datos: Todo lo que debes saber en 2024. Cookdata.
https://cookdata.io/control-y-gestion-de-datos/

FasterCapital. (2024, junio 4). Gestión de datos gestión eficiente de datos con la base I Mejores prácticas.
FasterCapital. https://fastercapital.com/es/contenido/Gestion-de-datos–gestion-eficiente-de-datos-con-
la-base-I–Mejores-practicas.html

Power Data. (s. f.). Seguridad de datos: En qué consiste y qué es importante en tu empresa. Power Data. Recuperado 8 de octubre de 2024, de https://www.powerdata.es/seguridad-de-datos

REGLAMENTO, 4.5.2016 (2016). https://www.boe.es/doue/2016/119/L00001-00088.pdf

SAP. (s. f.). ¿Qué es la gobernanza de datos?| Definición, importancia, & tipos. SAP. Recuperado 9 de octubre de 2024, de https://www.sap.com/latinamerica/products/technology-platform/master-data-
governance/what-is-data-governance.html

Villa Rodríguez, Arleth, K., & Rodríguez, K. A. V. (2024). El futuro del gobierno de datos y la IA como motor del cambio empresarial. https://doi.org/10.13140/RG.2.2.20541.88800

Germán Andrés Sánchez Ortegón
Dic, Mar, 2024

La norma ISO/IEC 27001:2022 simplificada: un enfoque paso a paso para la certificación.

Introducción

La norma ISO/IEC 27001:2022 ofrece un marco actualizado y simplificado para gestionar
eficazmente la seguridad de la información en un mundo donde las amenazas cibernéticas son
cada vez más prevalentes. Siguiendo este enfoque paso a paso para su certificación, las
organizaciones no solo mejorarán su postura frente a riesgos cibernéticos, sino que también
fortalecerán su reputación como entidades responsables en el manejo de información
crítica (Mendoza, 2023) .

La ISO/IEC 27001:2022 fue publicada el 25 de octubre de 2022, marcando una evolución
necesaria tras casi una década desde su versión anterior en 2013 (DIPREM Global, 2022) . La
transición hacia esta nueva norma debe ser vista como una oportunidad para mejorar
continuamente las prácticas organizacionales en materia de seguridad.

Esta además de adaptar los controles existentes, busca también introducir nuevos que
aborden las amenazas emergentes, como la gestión de servicios en la nube y el desarrollo
seguro de software (Iturriaga, 2022) . A continuación, se presenta un enfoque simplificado paso
a paso para la certificación bajo esta norma.

Estructura de la Norma

Manteniendo un formato estructural que se parece mucho a su predecesor, el estándar se
compone de 11 cláusulas distintas que delinean los requisitos específicos necesarios para un
SGSI efectivo. Cabe destacar, que se puede observar una transformación significativa en el
anexo A, donde el número total de controles se ha reducido juiciosamente de 114 a 93,
clasificándolos así en cuatro categorías principales: organizacionales, personales, físicos y
tecnológicos (DQS, s. f.) . Esta metodología simplificada facilita una identificación y gestión más
sencillas de los controles esenciales para garantizar una seguridad de la información sólida en
los diversos contextos organizacionales.

Paso a paso para la certificación

Compromiso de la alta dirección

El primer paso esencial es obtener el compromiso y apoyo de la alta dirección. Esto implica que
los líderes deben entender la importancia de la seguridad de la información y estar dispuestos
a proporcionar los recursos necesarios para implementar y mantener el SGSI. La dirección
debe establecer políticas claras y objetivos alineados con los requisitos de la norma.

2. Evaluación inicial

Realizar una evaluación inicial del estado actual del SGSI es fundamental. Esto incluye
identificar los activos de información, evaluar los riesgos asociados y determinar las
vulnerabilidades existentes. Esta evaluación ayudará a establecer una línea base sobre la cual
se pueden implementar mejoras.

3. Definición del alcance

Es de suma importancia definir los límites y el alcance del SGSI que se está estableciendo. Este
proceso implica determinar qué segmentos específicos de la organización estarán bajo el
ámbito del sistema, así como identificar qué activos se clasificarán como críticos para
mantener la seguridad. Un alcance bien articulado y claramente definido sirve para centrar los
esfuerzos y asignar los recursos de manera eficaz hacia las áreas más críticas y vulnerables que
requieren atención y protección inmediatas.

4. Desarrollo e Implementación del SGSI

Con base en la evaluación inicial y el alcance definido, se procede a desarrollar e implementar
políticas, procedimientos y controles necesarios para cumplir con los requisitos de la norma.
Esto incluye:

Controles técnicos: implementar medidas como control de accesos, criptografía y seguridad
física.

Controles organizacionales: establecer roles y responsabilidades claras dentro del SGSI.

Capacitación: proporcionar formación continua al personal sobre las políticas y
procedimientos establecidos.

5. Monitoreo y revisión

Tras la implementación del SGSI, resulta necesario establecer un proceso de supervisión y
revisión completo, que garantice la eficacia y el cumplimiento continuos. Este proceso abarca
auditorías internas periódicas diseñadas para evaluar rigurosamente el cumplimiento de los
controles establecidos y, al mismo tiempo, permitir los ajustes y mejoras necesarios a medida
que evolucionen las circunstancias. La norma hace especial hincapié en el ciclo PDCA
(planificar, hacer, verificar, actuar), que es reconocido como un marco altamente eficaz para
fomentar la mejora continua en el panorama de la seguridad de la información (NQA-ISO-
27001-Guia-de-implantacion.pdf, s. f.) .

6. Auditoría externa

Para obtener la certificación según la norma ISO/IEC 27001:2022, es esencial someterse a una
auditoría externa realizada por un organismo certificador acreditado que posea la autoridad y
la experiencia necesarias. Esta auditoría externa evaluará si el SGSI en cuestión cumple con
todos los requisitos estipulados, tal como se describe en la propia norma. Es muy
recomendable que las organizaciones preparen toda la documentación necesaria y se
aseguren de que todos los procesos operativos se alineen perfectamente con lo que se ha
implementado.

7. Mantenimiento y mejora continua

Al obtener la certificación, es importante garantizar que el SGSI se mantenga actualizado y
responda a los riesgos y cambios emergentes en el entorno organizacional. Este proceso
continuo requiere la realización de revisiones periódicas del sistema, la actualización de los
controles según se considere necesario y la participación constante de todo el personal en la
promoción de prácticas seguras para mitigar las posibles vulnerabilidades.

Beneficios de certificarse

La certificación según la norma ISO/IEC 27001:2022 no solo confiere una ventaja competitiva
significativa al demostrar de manera visible un compromiso firme con la seguridad de la
información, tanto para los clientes como para los socios comerciales, sino que desempeña un
papel crucial a la hora de mitigar los riesgos sustanciales asociados con los ciberataques y otros
incidentes de seguridad (Solutions, 2023) . Además, al adoptar un enfoque basado en el riesgo,
las organizaciones pueden priorizar de manera efectiva sus recursos y esfuerzos en las áreas
que son más susceptibles a las vulnerabilidades y amenazas.

Conclusiones

La norma ISO/IEC 27001:2022 proporciona un marco actualizado y simplificado que es esencial
para la gestión eficaz de la seguridad de la información en un entorno en el que las
ciberamenazas son cada vez más frecuentes y generalizadas. Al adoptar este enfoque
detallado y gradual para sus iniciativas de certificación, las organizaciones no solo mejorarán
su postura general de seguridad frente a los persistentes riesgos cibernéticos, también
reforzarán su reputación como administradoras responsables de la gestión de la información
crítica y confidencial. La transición a este nuevo estándar debe aprovecharse como una valiosa
oportunidad para mejorar y perfeccionar continuamente las prácticas organizativas en el
ámbito de la gestión de la seguridad.

Referencias Bibliográficas

DIPREM Global. (2022, noviembre 15). (18) Actualización ISO/IEC 27001:2022 | LinkedIn. DIPREM Global.
https://www.linkedin.com/pulse/actualizaci%C3%B3n-isoiec-270012022-diprem-sa/

DQS. (s. f.). Cambios clave de la nueva ISO/IEC 27001:2022 I DQS. DQS. Recuperado 22 de septiembre de 2024, de
https://www.dqsglobal.com/es-sv/aprenda/blog/new-iso-27001-2022-key-changes

Iturriaga, I. (2022, diciembre 23). Cambios y novedades en la norma ISO/IEC 27001/2022 y su guía de desarrollo
ISO/IEC 27002/2022. Global Technology. https://globalt4e.com/cambios-en-la-norma-iso-iec-27001-2022-
y-su-guia-de-desarrollo-iso-iec-27002-2022/

Mendoza, M. Á. (2023, febrero 9). ISO 27001:2022: ¿qué cambios introdujo el nuevo estándar de seguridad?
welivesecurity. https://www.welivesecurity.com/la-es/2023/02/09/iso-270012022-cambios-nuevo-
estandar-seguridad/

NQA-ISO-27001-Guia-de-implantacion.pdf. (s. f.). Recuperado 22 de septiembre de 2024, de
https://www.nqa.com/medialibraries/NQA/NQA-Media-
Library/PDFs/Spanish%20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

Solutions, G. (2023, marzo 20). ¿Qué es la norma ISO 27001 y para qué sirve? GlobalSuite Solutions.
https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/

Germán Andrés Sánchez Ortegón
Oct, Mié, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Cómo abordar la nueva norma ISO/IEC 27001:2022: cambios clave y qué significan para usted

Introducción

La norma ISO/IEC 27001:2022 ha obtenido el reconocimiento mundial como el estándar preeminente relacionado con la gestión de la seguridad de la información, lo que subraya su importancia en la era digital contemporánea. A la luz de la transformación sustancial que se ha producido en el panorama de las ciberamenazas desde la anterior revisión de esta norma en el año 2013, ha surgido la necesidad de modificar las normas existentes para que reflejen adecuadamente estos desafíos cambiantes. La versión lanzada en el 2022, se esfuerza no sólo por preservar la relevancia duradera de la norma, sino también por mejorar su compatibilidad y alineación con otros marcos regulatorios y estándares internacionales establecidos, incluida la ISO/IEC 27002, que también es una piedra angular de la gestión de la seguridad de la información(DQS, s. f.).

Esta norma, publicada el 25 de octubre de 2022, representa una actualización significativa del estándar internacional para la gestión de la seguridad de la información. Esta revisión es crucial para las organizaciones que buscan mejorar su Sistema de Gestión de Seguridad de la Información (SGSI) y adaptarse a un entorno digital en constante evolución. A continuación, se analizan los cambios clave introducidos por esta nueva norma y su impacto en las organizaciones.

Cambios clave en la norma

Estructura general

La estructura general de la norma se mantiene con 11 cláusulas, cabe destacar que varias de estas cláusulas han sufrido modificaciones menores pero significativas. Algunas partes de las cláusulas 4 a 10 se han revisado para reforzar la claridad y la adaptabilidad de la norma y garantizar que pueda aplicarse de manera efectiva en diversos contextos y marcos organizacionales(Jiménez, 2023). Por ejemplo:

Cláusula 4 (Contexto de la organización): se requiere que las organizaciones identifiquen los requisitos pertinentes de las partes interesadas y especifiquen cómo serán abordados en el SGSI.

Cláusula 6 (Planificación): se ha introducido una nueva cláusula que enfatiza la planificación de cambios necesarios en el SGSI.

Cambios en las Cláusulas

Las primeras tres cláusulas han sufrido modificaciones menores en redacción, sin afectar el sentido original(Mendoza, 2023). En particular:

Cláusula 1 (Alcance): define el ámbito de aplicación del estándar.

Cláusula 2 (Referencias normativas): se actualizan las referencias a documentos normativos.

Cláusula 3 (Términos y definiciones): se recomienda utilizar el estándar ISO/IEC 27000 para un lenguaje estandarizado.

Cambios en los controles del Anexo A

Uno de los cambios más significativos se encuentra en el Anexo A, que ahora contiene 93 controles organizados en cuatro secciones, en lugar de los 114 controles anteriores distribuidos en 14 secciones. Esto simplifica el enfoque hacia la gestión de riesgos. Algunos controles han sido actualizados, mientras que otros han sido reagrupados o eliminados para reflejar mejor las amenazas actuales y las mejores prácticas en ciberseguridad(Innevo, 2023). Esta reestructuración estratégica sirve para simplificar el enfoque global de la gestión de riesgos, promoviendo así la eficiencia y la eficacia en la aplicación de las medidas de seguridad. Además de la reorganización de los controles, algunos controles se han actualizado, mientras que otros se han reagrupado cuidadosamente o se han eliminado por completo para garantizar que reflejen con mayor precisión el panorama actual de amenazas y las mejores prácticas en el ámbito de la ciberseguridad. La intención de esta reestructuración no es solo simplificar sino también mejorar la eficacia de los controles de seguridad vigentes.

Controles Organizacionales: 37 controles, con 3 nuevos.
Controles al Personal: 8 controles, sin cambios.
Controles Físicos: 14 controles, con 1 nuevo.
Controles Tecnológicos: 34 controles, con 7 nuevos.

Nuevos Controles

Los nuevos controles introducidos incluyen aspectos críticos como:

Inteligencia de amenazas.
Seguridad de la información en servicios en la nube.
Preparación para la continuidad del negocio.
Supervisión de la seguridad física.
Gestión de la configuración.

Enfoque en ciberseguridad y privacidad

El título de la norma se ha revisado para incorporar explícitamente términos críticos como «ciberseguridad» y «protección de la privacidad», ampliando así significativamente el alcance de la norma. Esta expansión es particularmente relevante a la luz de la creciente importancia de estas cuestiones en el contexto sociotécnico actual, que se caracteriza por un aumento continuo de la frecuencia y sofisticación de los ciberataques y las violaciones de datos. El reconocimiento proactivo de estos importantes desafíos es esencial para las organizaciones que desean fortalecer sus defensas contra tales amenazas(Innevo, 2023).

Implicaciones para las organizaciones

Adaptación a los cambios

Las organizaciones disponen de un período de transición hasta octubre de 2025 para adaptarse a esta última versión de la norma, por lo que es imperativo que inicien los ajustes necesarios en sus sistemas actuales para garantizar el cumplimiento de los requisitos recientemente establecidos. Este proceso de adaptación incluye una revisión exhaustiva y la posterior actualización de las políticas, procedimientos y medidas de control existentes, alineándose meticulosamente con las directrices recientemente delineadas que figuran en la norma revisada(RINA, s. f.).

Mejora continua

El principio de mejora continua sigue siendo una piedra angular fundamental del SGSI en el marco de la nueva norma, y hace hincapié en la necesidad de que las organizaciones instituyan procesos claros y sistemáticos para la evaluación de su desempeño y la implementación de los ajustes necesarios a lo largo del tiempo. Esto no solo implica cumplir con los requisitos establecidos, sino que también requiere que las organizaciones busquen de manera proactiva métodos innovadores y efectivos para mejorar sus prácticas de seguridad de forma continua(Mendoza, 2023).

Capacitación y concientización

Es imperativo que las organizaciones prioricen la capacitación de su personal en relación con los nuevos requisitos y controles, ya que esto es vital para garantizar la implementación efectiva del SGSI dentro de su marco operativo. Las organizaciones deben estar dispuestas a invertir en programas de capacitación integrales que aborden las dimensiones técnicas y operativas pertinentes a la seguridad de la información,

fomentando así una cultura de vigilancia y preparación ante los cambiantes desafíos de seguridad(Cruz, 2022).

Conclusiones y recomendaciones finales

La actualización a la ISO/IEC 27001:2022 representa una oportunidad significativa para que las organizaciones fortalezcan su postura frente a la seguridad de la información. Al adoptar un enfoque más integrado hacia la ciberseguridad y al simplificar sus controles, las empresas pueden mejorar su resiliencia frente a las amenazas emergentes. Es fundamental que cada organización evalúe su situación actual, planifique adecuadamente su transición hacia el nuevo estándar y asegure que todos los niveles dentro de la empresa estén comprometidos con esta transformación. La implementación exitosa no solo contribuirá a cumplir con los requisitos normativos, sino que también mejorará significativamente la confianza del cliente y protegerá los activos más valiosos: su información. En resumen, abordar adecuadamente esta nueva norma no solo es un requisito regulatorio; es una estrategia esencial para cualquier organización que busque prosperar en un entorno digital cada vez más complejo y desafiante.

Referencias bibliográficas:

Cruz, H. de la. (2022, julio 5). Principales cambios de la ISO/IEC 27001 en 2022. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2022/07/principales-cambios-de-la-iso-iec-27001-en-2022/

DQS. (s. f.). Cambios clave de la nueva ISO/IEC 27001:2022 I DQS. DQS. Recuperado 21 de septiembre de 2024, de https://www.dqsglobal.com/es-sv/aprenda/blog/new-iso-27001-2022-key-changes

Innevo. (2023, abril 14). ISO 27001 Última Versión 2022: Novedades y Cambios Más Importantes. https://blog.innevo.com/iso27001-2022

Jiménez, M. M. (2023, noviembre 23). Principales cambios de la norma ISO 27001:2022. https://www.piranirisk.com/es/blog/cambios-norma-iso-27001-2022

Mendoza, M. Á. (2023, marzo 10). ISO 27001:2022: Cambios en las cláusulas que introdujo la nueva versión del estándar de seguridad. https://www.welivesecurity.com/la-es/2023/03/10/iso-27001-2022-cambios-clausulas-nueva-version-estandar-seguridad/

RINA. (s. f.). ISO/IEC 27001 Nueva edición de la Norma: Cambios y plazo—RINA.org. Recuperado 21 de septiembre de 2024, de https://www.rina.org/es/news/iso-iec-27001

Miguel Angel Suárez Benítez
Oct, Mié, 2024

SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS , TIC

Del phishing al ransomware: comprensión de los ciberataques modernos

Introducción

Los ciberataques han evolucionado significativamente en la última década, convirtiéndose en una amenaza omnipresente para individuos y organizaciones. Dos de las formas más comunes de estos ataques son el phishing y el ransomware, cada uno con su propia metodología y consecuencias devastadoras.

El phishing es una técnica utilizada por ciberdelincuentes que busca engañar a las personas para que revelen información confidencial, como contraseñas, datos bancarios o información personal. Los atacantes suelen utilizar correos electrónicos, mensajes de texto o llamadas telefónicas fraudulentas que imitan a entidades legítimas para ganarse la confianza de las víctimas. Según datos recientes, Google bloquea aproximadamente 100 millones de correos electrónicos de phishing cada día, lo que subraya la magnitud del problema (Domínguez, 2023).

El ransomware es un tipo de malware diseñado para bloquear el acceso a los archivos de un usuario o sistema hasta que se pague un rescate. Una vez que el ransomware infecta un dispositivo, cifra los archivos y presenta una nota de rescate que indica cómo pagar para recuperar el acceso. Este puede causar paralización total de las operaciones de una organización si no hay copias de seguridad disponibles. Este tipo de ataque ha crecido exponencialmente en los últimos años, especialmente durante la pandemia de COVID-19, cuando muchas organizaciones se vieron obligadas a adoptar rápidamente tecnologías digitales sin las adecuadas medidas de seguridad (Check Point Software, s. f.)

El phishing y el ransomware son dos de las amenazas cibernéticas más prevalentes en la actualidad, pero presentan diferencias fundamentales en su naturaleza, métodos de ataque y consecuencias. A continuación, se detallan las principales diferencias entre ambos.

Variantes del phishing:

Tipos de Phishing
Spear Phishing	Este tipo se dirige a individuos específicos, a menudo aquellos en posiciones vulnerables dentro de una organización.
Vishing	Utiliza llamadas telefónicas para engañar a las víctimas y obtener información sensible.
Smishing	Implica el uso de mensajes SMS fraudulentos para lograr el mismo objetivo.

La efectividad del phishing se puede atribuir a su notable capacidad de adaptación y evolución, lo que permite seguir siendo relevante y pasar desapercibido en un panorama digital en constante cambio. Los ciberatacantes innovan incesantemente sus estrategias y metodologías, lo que hace que las medidas defensivas convencionales sean cada vez más inadecuadas para hacer frente a estas amenazas. Por ejemplo, estos ataques malintencionados suelen utilizar enlaces que dirigen a usuarios desprevenidos a sitios web falsificados diseñados para parecerse mucho a los legítimos, lo que en última instancia complica el proceso para que las víctimas distingan las actividades fraudulentas de las auténticas(Legro, 2024).

Funcionamiento del Ransomware:

Una vez que un sistema se ve comprometido por el ransomware, inicia un proceso en el que los archivos del usuario se cifran mediante el uso de intrincados algoritmos diseñados intencionadamente para que resulten difíciles de descifrar. El único método para recuperar el acceso a estos archivos suele consistir en el pago de un rescate a los autores o, alternativamente, en la restauración de los datos de copias de seguridad creadas anteriormente, siempre que dichas copias de seguridad estén realmente

disponibles e intactas. Sin embargo, es imprescindible tener en cuenta que, incluso en los casos en que se pague el rescate, no hay ninguna garantía de que los atacantes cumplan su parte del trato proporcionando la clave de descifrado necesaria para desbloquear los archivos comprometidos(Revista Ciberseguridad, 2024).

Los ataques de ransomware contemporáneos se han convertido en marcos cada vez más sofisticados, como lo demuestra el surgimiento del «ransomware como servicio» (RaaS), en el que los ciberdelincuentes ofrecen un conjunto de herramientas y servicios diseñados específicamente para facilitar los ataques a otras personas con menos experiencia dentro del mundo criminal. Esta alarmante tendencia ha provocado un aumento significativo tanto en la frecuencia, como en la complejidad de los ataques de ransomware, a medida que más personas acceden a estos recursos maliciosos y participan en este tipo de actividades ilícitas(Digital, 2023).

Una novedad especialmente preocupante en el ámbito del ransomware es la adopción de la técnica de «doble extorsión», mediante la cual los atacantes no sólo cifran datos vitales, sino que también roban información confidencial antes del proceso de cifrado. En los casos en que la víctima se niega a aceptar las demandas de extorsión, los atacantes toman represalias amenazando con divulgar públicamente esta información confidencial, imponiendo así una capa adicional de presión coercitiva sobre las organizaciones que han sido víctimas de tales ataques. Esta táctica insidiosa no solo aumenta los riesgos para las entidades afectadas, sino que plantea importantes problemas éticos y legales en relación con la protección de los datos confidenciales en un entorno cibernético cada vez más hostil(Kerns et al., 2022).

Comparativa entre Phishing y Ransomware:

	Phishing	Ransomware
Métodos de Propagación	Correos electrónicos maliciosos que contienen enlaces o archivos adjuntos. Los atacantes utilizan tácticas de ingeniería social para inducir a las víctimas a hacer clic en estos enlaces o descargar los archivos, lo que puede llevar al robo de información o a la instalación de malware adicional.	Correos electrónicos, descargas desde sitios web comprometidos o vulnerabilidades en software. Requiere que la víctima interactúe con un enlace o archivo adjunto para activarse.
Objetivos	Robar información confidencial directamente de la víctima. Esto puede incluir credenciales de inicio de sesión, números de tarjetas de crédito y otros datos personales que pueden ser utilizados para cometer fraude o robo de identidad.	Busca extorsionar económicamente a la víctima. Los atacantes cifran los archivos y exigen un pago (generalmente en criptomonedas) para proporcionar la clave necesaria para desbloquearlos. Este enfoque no solo afecta la información almacenada, sino que también puede paralizar las operaciones comerciales.
Consecuencias	Pueden incluir el robo inmediato de dinero o información personal, lo que puede resultar en fraudes financieros y daños a la reputación del individuo o la organización afectada. Los datos robados pueden ser utilizados para realizar ataques adicionales o venderse en el mercado negro.	Son generalmente más severas. La pérdida de acceso a datos críticos puede llevar a la interrupción total del negocio, pérdidas financieras significativas y daños permanentes a la reputación. Además, si una organización paga el rescate, no hay garantía de que recuperará sus datos.
Prevención	Es crucial educar a los empleados sobre cómo identificar correos electrónicos sospechosos y evitar hacer clic en enlaces desconocidos. Implementar autenticación multifactor (MFA) también puede ayudar a proteger cuentas incluso si se roban credenciales.	Implica medidas más amplias, cómo mantener copias de seguridad regulares y actualizadas, usar software antivirus confiable y aplicar parches de seguridad en sistemas operativos y aplicaciones. La formación continua sobre ciberseguridad también es esencial para preparar al personal ante posibles ataques.

Ambos ataques requieren medidas proactivas para prevenir su éxito. La educación y la concienciación son fundamentales para combatir tanto el phishing como el ransomware. Las organizaciones deben implementar programas de formación continua para sus empleados sobre cómo identificar correos electrónicos sospechosos y prácticas seguras en línea.

Conclusiones y recomendaciones finales:

La comprensión profunda del phishing y el ransomware es crucial en un mundo cada vez más digitalizado. Sus diferencias son marcadas en cuanto a métodos, objetivos y consecuencias. Entender estas diferencias es fundamental para implementar estrategias efectivas de prevención y mitigación ante estos ciberataques. Ambos representan amenazas serias que pueden tener resultados devastadores tanto para individuos como para organizaciones. A medida que los ciberdelincuentes continúan innovando sus métodos, es esencial que las empresas adopten enfoques proactivos y multifacéticos para protegerse contra estos ciberataques modernos. La educación continua, junto con tecnologías avanzadas y prácticas seguras, son clave para mitigar estos riesgos y garantizar la seguridad cibernética en el futuro.

Referencias bibliográficas:

Check Point Software. (s. f.). Top 8 tipos de ciberataque. Check Point Software. Recuperado 19 de

septiembre de 2024, de https://www.checkpoint.com/es/cyber-hub/cyber-security/what-is-cyber-attack/types-of-cyber-attacks/

Digital, P. por buzz. (2023, noviembre 16). Ransomware y phishing son las amenazas más sensibles para Latinoamérica. Procomer Costa Rica. http://https%253A%252F%252Fwww.procomer.com%252Falertas_comerciales%252Fransomware-y-phishing-son-las-amenazas-mas-sensibles-para-latinoamerica%252F

Domínguez, S. (2023, octubre 13). Los 15 tipos de ciberataques que deberías conocer | OpenWebinars. OpenWebinars.net. https://openwebinars.net/blog/los-15-tipos-de-ciberataques-que-deberias-conocer/

Kerns, Q., Payne, B., & Abegaz, T. (2022). Double-Extortion Ransomware: A Technical Analysis of Maze Ransomware. En K. Arai (Ed.), Proceedings of the Future Technologies Conference (FTC) 2021, Volume 3 (Vol. 3, pp. 82-94). Springer International Publishing. https://doi.org/10.1007/978-3-030-89912-7_7

Legro, A. (2024, abril 2). Ataques informáticos: Causas y 15 Tipos de Ciberataques. Win Empresas. https://winempresas.pe/blog/ataques-informaticos-causas-y-12-tipos-de-ciberataques

Revista Ciberseguridad. (2024, abril 9). 3 ciberamenazas en auge: LOL, IA y ransomware » Revista Ciberseguridad. https://www.revistaciberseguridad.com/2024/04/3-ciberamenazas-en-auge-lol-ia-y-ransomware/

Miguel Angel Suárez Benítez
Oct, Mié, 2024

SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS , TIC

El auge de las ciberamenazas: cómo mantenerte un paso por delante

Introducción

Es innegable que la progresiva transformación digital de la vida cotidiana y las actividades comerciales, ha precipitado un aumento sustancial de la prevalencia y la complejidad de las ciberamenazas. Estas se han convertido en un problema que afecta a individuos, empresas y gobiernos por igual. Con la proliferación de datos sensibles en línea, las implicaciones de las brechas de seguridad son cada vez más graves, llegando a comprometer información personal, secretos comerciales y la seguridad nacional.

Los ciberdelincuentes han adoptado cada vez más metodologías más avanzadas e intrincadas, lo que convierte el desafío de mantener una ciberseguridad sólida en una tarea desafiante, tanto para las personas como para las organizaciones (NinjaOne, 2024).

Estadísticas recientes indican que los ataques cibernéticos se han incrementado en número y sofisticación, haciendo imperativo que todos los sectores adopten medidas de protección avanzadas. Las ciberamenazas no discriminan: desde el sector financiero hasta la educación, todos están en riesgo. En este entorno, entender las tendencias actuales en ciberamenazas y desarrollar estrategias proactivas para enfrentarlas es fundamental para mantener la seguridad y la confianza.

En las secciones siguientes, se analizarán las tendencias predominantes que caracterizan las ciberamenazas contemporáneas, y se delinearán estrategias eficaces que pueden emplearse para garantizar que se siga un paso adelante en este panorama en constante evolución.

Tendencias en materia de ciberamenazas

Las ciberamenazas evolucionan constantemente, aprovechando nuevas tecnologías y puntos débiles en los sistemas de información. Uno de los mayores desafíos actuales es el auge del ransomware, un tipo de malware que cifra los datos del usuario y exige un rescate para su liberación. Otras tendencias preocupantes incluyen el phishing, donde se engaña a los usuarios para que proporcionen información confidencial, y los ataques a la cadena de suministro, que buscan infiltrarse en los sistemas a través de terceros confiables.

El auge del Internet de las Cosas (IoT) también ha creado nuevos vectores de ataque, con dispositivos conectados que a menudo no están adecuadamente protegidos (Albornoz, 2021).

Entre las principales tendencias se encuentran:

El aumento de los ataques impulsados por la IA: se prevé que la evolución de los ciberataques, impulsada por la integración de la inteligencia artificial, dé lugar a ataques más convincentes y formidables que cada vez son más difíciles de contrarrestar. Este avance abarca la implementación de sofisticadas técnicas de ingeniería social y ataques multicanal que explotan específicamente las vulnerabilidades inherentes al elemento humano, que a menudo se considera la debilidad más importante de los marcos de seguridad existentes (Digital 360, 2024).

Incremento del hacktivismo: el aumento de los ciberataques motivados por factores políticos, sociales o ideológicos es cada vez más pronunciado, lo que introduce una capa adicional de complejidad en el ámbito de la ciberseguridad que debe abordarse con diligencia y experiencia (Sosafe, 2024).

Ransomware y extorsión: la prevalencia de los ataques de ransomware, en los que actores malintencionados bloquean de manera efectiva el acceso a datos críticos hasta que se pague un rescate específico, sigue representando una amenaza importante y creciente tanto para las personas como para las organizaciones. La profesionalización y la estructura organizativa de la ciberdelincuencia han contribuido significativamente al aumento de la frecuencia y al impacto perjudicial de estos ataques (Gigas, 2024b).

Puntos débiles de la nube: a medida que un número cada vez mayor de empresas hacen la transición de sus marcos operativos a plataformas basadas en la nube, se produce un aumento paralelo de los ataques dirigidos a estos servicios cada vez más populares. Garantizar la seguridad de los datos almacenados en la nube es de suma importancia para evitar pérdidas catastróficas y mantener la integridad de los datos (Gigas, 2024a).

Estrategias para mantenerse un paso por delante

Para contrarrestar estas amenazas, es crucial adoptar un enfoque plural y estratificado de la ciberseguridad. Esto incluye la implementación de tecnologías de protección avanzadas, como la autenticación multifactor y el cifrado de datos. Además, la educación y capacitación continuas en ciberseguridad para empleados pueden ayudar a prevenir ataques de ingeniería social como el phishing.

Otra estrategia esencial es la realización de auditorías de seguridad regulares y la adopción de un marco de seguridad cibernética que priorice la detección rápida y la respuesta a incidentes. Integrar la inteligencia artificial y el aprendizaje automático en los sistemas de seguridad puede proporcionar una capacidad predictiva, identificando amenazas potenciales antes de que causen daño real (Freixa et al., 2017; Ruipérez-Valiente, 2020). Es imprescindible implementar una amplia gama de estrategias proactivas que puedan mejorar las medidas de seguridad:

Resulta vital cultivar una cultura de conciencia sobre la ciberseguridad entre todos los empleados mediante iniciativas educativas integrales sobre la naturaleza de las ciberamenazas. Las sesiones de formación periódicas deben incluir las mejores prácticas para un comportamiento seguro en línea, los métodos para identificar los correos electrónicos sospechosos y las directrices para una gestión eficaz de las contraseñas (Solutions, 2024).

Además, la adopción de la autenticación multifactorial sirve para reforzar las medidas de seguridad, ya que exige múltiples formas de verificación antes de conceder el acceso a sistemas y datos confidenciales, lo que añade un nivel esencial de protección contra el acceso no autorizado (Aioconnect, 2024).

Otra importante acción es realizar copias de seguridad frecuentes y sistemáticas de los datos críticos, además de garantizar que estas copias de seguridad se almacenen de forma segura, es una estrategia eficaz para protegerse contra la posible pérdida de datos que puedan derivarse de ataques como el ransomware (Aioconnect, 2024).

También resulta imperativo mantener el software y los sistemas operativos actualizados, lo que incluye en la pronta aplicación de los últimos parches de seguridad, ya que esta práctica es fundamental para proteger contra las vulnerabilidades conocidas que pueden ser explotadas por actores mal intencionados. El establecimiento de sistemas robustos diseñados para detectar actividades anómalas o sospechosas, junto con la formulación de un plan de respuesta a incidentes claro y completo, es fundamental para que las organizaciones puedan mitigar rápidamente las repercusiones de cualquier posible violación de seguridad (One step Foreward, 2024).

Por último, pero no menos importante, realizar evaluaciones periódicas y exhaustivas destinadas a identificar vulnerabilidades específicas dentro del marco organizacional permite abordar de manera proactiva los posibles problemas de seguridad antes de que los ciberdelincuentes puedan explotarlos (Elcano, 2020).

Conclusiones y recomendaciones finales

En conclusión, el auge de las ciberamenazas exige una respuesta robusta y multifacética. No es suficiente reaccionar a los incidentes a medida que ocurren; las organizaciones deben adoptar una postura proactiva, anticipando y mitigando riesgos antes de que estos se conviertan en brechas de seguridad. Recomendamos que todas las partes interesadas inviertan en formación continua en ciberseguridad, actualicen regularmente sus protocolos de seguridad y colaboren con expertos en seguridad para desarrollar soluciones a medida. La ciberseguridad no es solo una cuestión técnica, sino una prioridad estratégica que requiere compromiso a todos los niveles de la organización.

Las estrategias y herramientas mencionadas no solo son cruciales para proteger los activos de información, sino también para asegurar la continuidad y la sostenibilidad de las operaciones en un paisaje de amenazas en constante evolución.

Referencias bibliográficas

Aioconnect. (2024). Las Mejores Prácticas de Ciberseguridad para Empresas en 2024 – AIO Connect. Aioconnect. https://aioconnect.tech/las-mejores-practicas-de-ciberseguridad-para-empresas-en-2024/

Albornoz, M. M. (2021). El titular de datos personales, parte débil en tiempos de auge de la Inteligencia Artificial. ¿Cómo fortalecer su posición? Revista IUS, 15(48), 209-242. https://doi.org/10.35487/rius.v15i48.2021.715

Digital 360. (2024). Prevenir ciberataques, guía completa. Digital 360. https://www.computing.es/a-fondo/como-prevenir-los-ciberataques-en-una-empresa-guia-completa/

Elcano. (2020). Ciberseguridad económica. Real Instituto Elcano. https://www.realinstitutoelcano.org/analisis/ciberseguridad-economica/

Freixa, P., Pérez-Montoro, M., & Codina, L. (2017). Interacción y visualización de datos en el

periodismo estructurado. Profesional de la información, 26(6), Article 6. https://doi.org/10.3145/epi.2017.nov.07

Gigas. (2024a). La Evolución de las Amenazas Cibernéticas: Estrategias de defensa en la nube – Parte 3. Gigas. https://blog.gigas.com/es/la-evolucion-de-las-amenazas-ciberneticas-estrategias-de-defensa-en-la-nube

Gigas. (2024b). La Evolución de las Amenazas Cibernéticas: Los Impactos más Relevantes- Parte 2. Gigas. https://blog.gigas.com/es/evolucion-amenazas-ciberneticas-impactos-mas-relevantes

NinjaOne. (2024). 7 estadísticas de ciberseguridad que toda PYME y MSP debe conocer en 2024—NinjaOne. NinjaOne. https://www.ninjaone.com/es/blog/smb-cybersecurity-statistics/

One step Foreward. (2024). ¿Cómo prevenir un ciberataque? One step Foreward. https://www.kio.tech/blog/ciberseguridad/como-prevenir-un-ciberataque

Ruipérez-Valiente, J. A. (2020). El Proceso de Implementación de Analíticas de Aprendizaje. RIED. Revista Iberoamericana de Educación a Distancia, 23(2), 85. https://doi.org/10.5944/ried.23.2.26283

Solutions, P. B. (2024, febrero 29). La prevención de ciberataques en la empresa, cómo evitarlos. Practics – Openbravo Gold Partner. https://www.practicsbs.com/prevencion-ciberataques/

Sosafe. (2024, septiembre 9). Tendencias y predicciones sobre ciberamenazas en 2024. Sosafe. https://sosafe-awareness.com/es/blog/tendencias-ciberdelincuencia-2024/

Germán Andrés Sánchez Ortegón
Oct, Mié, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Del cumplimiento a la confianza: cómo la norma ISO/IEC 27001:2022 puede transformar su negocio

Introducción

En la era digital actual, la seguridad de la información se ha transformado en una piedra angular para el éxito y la sostenibilidad de las organizaciones. La globalización de los mercados y la digitalización acelerada hacen imperativo proteger los activos de información contra amenazas cada vez más sofisticadas(Chavez et al., 2024).

La norma ISO/IEC 27001:2022 surge como un marco esencial que desempeña un papel fundamental en la gestión de la seguridad de la información, ya que ofrece a las organizaciones un enfoque estructurado del cumplimiento que no solo cumple con los requisitos reglamentarios, sino que también fomenta una capa fundamental de confianza tanto entre los clientes como entre los socios comerciales. La relevancia de esta norma abarca una amplia gama de sectores, alcanzando dominios tan diversos como la tecnología y las finanzas, lo que subraya su importancia crítica en cualquier contexto en el que la protección de la información confidencial sea primordial. Los datos empíricos recientes revelan que las brechas de seguridad pueden causar daños financieros por valor de millones de dólares a las empresas, lo que deja muy claro que invertir en un sistema de gestión de la seguridad de la información (SGSI) completo y sólido no solo es aconsejable, sino que, de hecho, es esencial para garantizar la continuidad del negocio y la resiliencia ante posibles interrupciones(Vakhula et al., 2024).

El potencial transformador de la norma ISO/IEC 27001:2022 para operaciones comerciales

La implementación del estándar ISO/IEC 27001:2022 proporciona a las organizaciones un enfoque estructurado que trasciende el ámbito de la protección básica de datos; más bien, sirve para fortalecer la totalidad de la administración operativa dentro de la organización. Esta norma en particular es fundamental para identificar, gestionar y mitigar de forma proactiva los riesgos de seguridad, lo que, a su vez, permite a las organizaciones optimizar sus procesos operativos y reforzar su capacidad para lograr una continuidad empresarial sostenida. Al cumplir con estos estándares establecidos, las organizaciones no solo mejoran la eficiencia de sus procesos operativos, sino que también integran de manera efectiva las prácticas de seguridad en el núcleo mismo de sus operaciones diarias, lo que aumenta significativamente la eficiencia y la eficacia organizativas generales(Secureframe, 2023).

Protección esencial de los datos críticos

A la luz de la frecuencia cada vez mayor y los costos sustanciales asociados a las filtraciones de datos en el mundo interconectado actual, el estándar ISO/IEC 27001:2022 se ha diseñado meticulosamente para fortalecer la seguridad de los activos de datos críticos. Esta norma reconocida internacionalmente proporciona un enfoque sistemático y rigurosamente estructurado destinado a garantizar la confidencialidad, la integridad y la disponibilidad de la información crítica. Al establecer controles estrictos y participar en procesos de evaluación continuos, las organizaciones están facultadas no solo para evitar incidentes de seguridad, sino también para organizar respuestas eficaces en el desafortunado caso de que se produzcan ciberataques o brechas de seguridad(Toro, 2018).

Mejorar la reputación y la confiabilidad de los clientes

Establecer y mantener la confianza de los clientes es un principio fundamental en el entorno empresarial contemporáneo, donde hay más en juego que nunca. La implementación de un SGSI que cumpla con las normas ISO/IEC 27001:2022 es una indicación clara y demostrable del compromiso serio de una organización con la seguridad de la información, un compromiso que puede mejorar profundamente la percepción del mercado con respecto a la confiabilidad y la estabilidad de la empresa. Para las empresas que manejan cantidades importantes de información confidencial, este nivel de dedicación a la seguridad es particularmente crucial, ya que la confianza de los clientes suele ser el factor decisivo que influye en el éxito y la sostenibilidad de la empresa en general(CyberSeg Solutions, 2023).

Beneficios de implementar ISO 27001

Seguridad mejorada	Proporciona un marco sistemático para identificar, evaluar y gestionar los riesgos de seguridad de la información. Esto conduce a una mejor protección de los datos confidenciales, lo que reduce la probabilidad de infracciones y accesos no autorizados.
Gestión de riesgos	A través de un proceso exhaustivo de evaluación de riesgos, las organizaciones pueden identificar vulnerabilidades y amenazas potenciales a sus activos de información. Esto les permite abordar estos riesgos de manera proactiva, minimizando el impacto potencial.
Cumplimiento normativo	Ayuda a las organizaciones a alinearse con diversas regulaciones de privacidad y protección de datos, como LFPDPPP, GDPR, PCI/DSS, HIPAA y otras, garantizando el cumplimiento legal y evitando multas elevadas.
Mejor reputación empresarial	Demostrar el cumplimiento de la norma ISO 27001 mejora la reputación de una organización como entidad confiable que prioriza la seguridad de la información. Esto puede generar una mayor confianza del cliente y potencialmente nuevas oportunidades comerciales.
Ventaja competitiva	La certificación ISO 27001 puede proporcionar una ventaja competitiva en el mercado al mostrar un compromiso con prácticas de seguridad sólidas, particularmente en industrias donde la seguridad de la información es una preocupación crítica.
Procesos eficientes	El estándar fomenta el desarrollo de procesos y procedimientos de seguridad de la información eficientes y efectivos, lo que contribuye a optimizar las operaciones y reducir el tiempo de inactividad.
Preparación para incidentes	La implementación de ISO 27001 fomenta una cultura de preparación al establecer planes y procedimientos de respuesta a incidentes, lo que permite una acción rápida y efectiva en caso de incidentes de seguridad.
Conciencia en los empleados	ISO 27001 promueve la conciencia y la participación de los empleados en las prácticas de seguridad de la información, creando una cultura consciente de la seguridad en toda la organización.

Conclusiones y recomendaciones finales

La norma ISO/IEC 27001:2022 no debe percibirse simplemente como otro requisito reglamentario impuesto a las empresas contemporáneas; más bien, debe considerarse una inversión estratégica que es fundamental para garantizar la seguridad y la credibilidad futuras de la organización.

Dadas las alarmantes estadísticas sobre la frecuencia y el impacto financiero de las brechas de seguridad, es prudente y recomendable que las organizaciones adopten esta norma no solo por motivos de cumplimiento, sino también como pilar fundamental de su estrategia global de seguridad corporativa. Se recomienda encarecidamente que las organizaciones realicen auditorías periódicas, brinden capacitación continua a sus miembros del personal y mantengan un diálogo abierto y transparente con las partes interesadas en relación con la seguridad de la información, todo ello en un esfuerzo por cultivar y mantener un entorno digital seguro.

En última instancia, la transparencia y un compromiso inquebrantable con la seguridad representan la base sobre la que se construye la confianza de los clientes en esta era cada vez más digital.

Referencias bibliográficas

Chavez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC 27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th International Conference on Cloud Computing, Data Science & Engineering (Confluence), 184-189. https://doi.org/10.1109/Confluence60223.2024.10463392

CyberSeg Solutions. (2023, agosto 28). Beneficios de implementar ISO 27001 en las organizaciones—CyberSeg Solutions. https://www.cyberseg.solutions/beneficios-de-implementar-iso-27001-en-las-organizaciones/

Secureframe. (2023). ¿Por qué es importante la ISO 27001? Beneficios de la certificación. Secureframe. https://secureframe.com/hub/iso-27001/why-is-iso-27001-important

Toro, R. (2018, julio 5). ¿Cómo te ayuda la norma ISO 27001 en la seguridad de tu negocio? PMG SSI – ISO 27001. https://www.pmg-ssi.com/2018/07/ayuda-norma-iso-27001-seguridad-negocio/

Vakhula, O., Kurii, Y., Opirskyy, I., & Susukailo, V. (2024). Security-as-Code Concept for Fulfilling ISO/IEC 27001:2022 Requirements. 59-72. https://ceur-ws.org/Vol-3654/paper6.pdf

Miguel Angel Suárez Benítez
Oct, Mié, 2024

GOBERNANZA DE LAS TIC , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS , TIC

Ciberseguridad: consejos esenciales para proteger su negocio

Introducción

En la sociedad contemporánea, uno de los principales riesgos que sufren las organizaciones, ya no se limita a la noción tradicional de que una persona se infiltra físicamente en las instalaciones para huir con activos monetarios. Entre los peligros más importantes al que se enfrentan las empresas, radica en las acciones realizadas por los ciberdelincuentes que, equipados con ordenadores en la comodidad de sus hogares, utilizan conexiones a Internet de baja latencia y una serie de herramientas tecnológicas sofisticadas, para ejecutar actividades maliciosas destinadas a socavar la integridad y la viabilidad de estas empresas (Arenas, 2024). En 2022, el 74% de las PYMES españolas sufrieron al menos un incidente de ciberseguridad grave(CincoDias, 2024).

Por lo tanto, la ciberseguridad, en las empresas contemporáneas juega un papel fundamental ya que comprende un conjunto de medidas y prácticas que buscan proteger los sistemas y las redes informáticas de amenazas y ataques cibernéticos. Estas medidas incluyen la protección de la información, la detección y prevención de vulnerabilidades, y la respuesta efectiva a incidentes de seguridad (Cano & Monsalve Machado, 2023).

Principales riesgos de Ciberseguridad

En el panorama actual de la ciberseguridad, los principales riesgos son diversos y complejos, lo que exige una atención constante por parte de las organizaciones. Uno de los más comunes es el phishing, donde los ciberdelincuentes utilizan correos electrónicos engañosos para suplantar la identidad y obtener credenciales de inicio de sesión (INTROSERV, 2023).

A su vez, el ransomware ha visto un aumento alarmante, obligando a las empresas a decidir entre pagar un rescate o perder acceso a datos críticos. El malware, que incluye virus y software espía, continúa infiltrándose en sistemas, causando daños y filtraciones de información (Docusing, 2022).

Los ataques a la nube también son frecuentes, ya que los delincuentes buscan robar credenciales y acceder a datos almacenados en entornos digitales. Las amenazas a la cadena de suministro también son preocupantes, ya que un ataque a un proveedor puede tener repercusiones devastadoras para las empresas que dependen de sus servicios (Check Point Software, s. f.).

La exposición a terceros se ha vuelto crítica, debido a la falta de medidas de seguridad en los proveedores, puede comprometer la seguridad de toda la organización, mientras que las amenazas internas pueden surgir de empleados descontentos o negligentes, que pueden filtrar información confidencial. Asimismo, la obsolescencia del software representa un riesgo significativo, pues las versiones desactualizadas carecen de las mejoras de seguridad necesarias (Ticnova, 2024).

Finalmente, los ataques a los sistemas de pago son un objetivo atractivo para los ciberdelincuentes, lo que subraya la importancia de establecer marcos de seguridad robustos para proteger los datos financieros (Docusing, 2022). En conjunto, estos riesgos destacan la necesidad de una estrategia de ciberseguridad integral y proactiva.

Con el aumento de las amenazas cibernéticas, es crucial implementar medidas efectivas para proteger los negocios y sus datos. A continuación, se presentan algunos consejos esenciales que pueden ayudar a fortalecer la ciberseguridad de las empresa

Consejos esenciales para proteger las empresas

Consejo	Área	Acción
Evaluación de riesgos Antes de implementar cualquier estrategia de ciberseguridad, es fundamental entender los riesgos específicos que enfrentan las empresas.	Activos críticos	¿Qué datos o sistemas son más valiosos?
Vulnerabilidades	¿Dónde están las debilidades en su infraestructura?
Amenazas potenciales	¿Qué tipo de ataques son más probables?
Capacitación del personal La capacitación en ciberseguridad es una de las mejores defensas contra ataques.	Prácticas de seguridad	Uso de contraseñas seguras, reconocimiento de correos electrónicos de phishing y manejo adecuado de datos sensibles.
	Protocolos de respuesta	Qué hacer en caso de un incidente de seguridad.
Utilizar contraseñas fuertes y autenticación de dos factores Las contraseñas son la primera línea de defensa.	Contraseñas complejas	Utilice combinaciones de letras, números y símbolos.
	Autenticación de dos factores (2FA)	Active 2FA siempre que sea posible para añadir una capa extra de seguridad.
Mantener el software actualizado Las actualizaciones de software son cruciales para la seguridad.	Actualizar sistemas operativos y aplicaciones	Instale parches y actualizaciones de seguridad tan pronto como estén disponibles.
	Utilizar software de seguridad	Emplee antivirus y firewalls actualizados para proteger su red.
Realizar copias de seguridad regularmente Las copias de seguridad son vitales para recuperar datos en caso de un ataque.	Frecuencia de las copias de seguridad	Realizar copias de seguridad diarias o semanales, dependiendo de la cantidad de datos que se manejan.
	Almacenamiento seguro	Guardar las copias de seguridad en un lugar seguro y, si es posible, en la nube y en un dispositivo físico separado.
Desarrollar un plan de respuesta a Incidentes Tener un plan de respuesta a incidentes puede marcar la diferencia entre una crisis manejable y un desastre.	Identificación de roles	Quién es responsable en caso de un incidente.
	Procedimientos de comunicación	Cómo informar a las partes interesadas y a los clientes.
	Medidas de recuperación	Pasos a seguir para restaurar operaciones normales.
Monitorear y auditar regularmente la seguridad El monitoreo constante y las auditorías son esenciales para mantener la seguridad.	Revisiones periódicas	Realizar auditorías de seguridad para identificar y corregir vulnerabilidades.
	Monitoreo de actividad	Utilizar herramientas para detectar actividad sospechosa en su red.
Colaborar con expertos en ciberseguridad Si el negocio no cuenta con el personal adecuado para manejar la ciberseguridad, considere colaborar con expertos.	Consultores de ciberseguridad	Para evaluar su infraestructura y ofrecer recomendaciones.
	Servicios de respuesta a incidentes	Para ayudar en caso de un ataque.

Conclusiones y recomendaciones

La ciberseguridad, representa una faceta indispensable de la gestión empresarial moderna, dentro del panorama digital cada vez más complejo e interconectado que caracteriza a la sociedad contemporánea. La implementación de estos consejos esenciales no solo servirá para proteger las operaciones comerciales de posibles amenazas y vulnerabilidades, sino que, al mismo tiempo, fomentará y mejorará el nivel de confianza que sus clientes y socios comerciales depositan en la integridad y confiabilidad de su organización.

Es necesario reconocer que el dominio de la ciberseguridad no es un esfuerzo estático sino más bien un proceso dinámico y continuo; por lo tanto, se debe cultivar de forma permanente una mentalidad proactiva y anticipatoria, sin dejar de permanecer alerta y listo para adaptarse a la naturaleza en constante evolución de las amenazas y desafíos emergentes. ¡La seguridad y la resiliencia generales de su empresa dependen fundamentalmente de su compromiso con estos principios y prácticas!

Referencias bibliográficas

El blog de Ticnova. https://ticnova.es/blog/riesgos-seguridad-informatica/Arenas, A. (2024, marzo 25). Pymes en riesgo de sufrir ciberataques si no invierten en tecnología. Infochannel. https://infochannel.info/noticias/soluciones/pymes-en-riesgo-de-sufrir-ciberataques/

Cano, W. D., & Monsalve Machado, S. (2023). Ciberseguridad, reto empresarial para afrontar la era de la digitalización actual [bachelorThesis, Escuela de Economía, Administración y Negocios]. https://repository.upb.edu.co/handle/20.500.11912/11318

Check Point Software. (s. f.). Las 6 principales amenazas a la ciberseguridad—Check Point Software. Recuperado 9 de septiembre de 2024, de https://www.checkpoint.com/es/cyber-hub/cyber-security/what-is-cybersecurity/top-6-cybersecurity-threats/

CincoDias. (2024, mayo 14). Fortalecer las contraseñas en las pymes para evitar riesgos cibernéticos. https://cincodias.elpais.com/territorio-pyme/pymes/2024-05-14/fortalecer-las-contrasenas-en-las-pymes-para-evitar-riesgos-ciberneticos.html

Docusing. (2022, junio 27). Principales amenazas a la ciberseguridad en las empresas. https://www.docusign.com/es-mx/blog/desarrolladores/amenazas-la-ciberseguridad

INTROSERV. (2023, 08). Las 10 principales amenazas a la ciberseguridad a las que se enfrentan hoy las pequeñas empresas |. https://introserv.com/es/blog/las-10-principales-amenazas-a-la-ciberseguridad-a-las-que-se-enfrentan-hoy-las-pequenas-empresas/

Ticnova. (2024, febrero 9). Principales riesgos

Miguel Angel Suárez Benítez
Oct, Sáb, 2024

Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Construir una organización ciber-resiliente: mejores prácticas para 2024

Introducción

La ciberresiliencia es un tema crítico para las organizaciones en un mundo digitalizado y vulnerable a ciberataques. Las empresas deben adoptar un enfoque proactivo y multifacético para fortalecer su capacidad de respuesta ante incidentes cibernéticos.

A medida que la magnitud y la variedad de amenazas aumentan a un ritmo alarmante, el concepto de resiliencia resulta una prioridad para las organizaciones de varios sectores. Según el informe Global Security Outlook 2024, publicado recientemente, se ha hecho evidente que solo un número limitado de organizaciones poseen la fortaleza necesaria para declararse entidades ciberresilientes(Foro Económico Mundial, 2024).

Con el aumento simultáneo de los riesgos asociados con las amenazas cibernéticas y los avances en la tecnología diseñados para generar y contrarrestar estas amenazas, existe un abismo cada vez mayor entre las capacidades de las organizaciones grandes y con buenos recursos y sus contrapartes pequeñas y medianas, que a menudo carecen del mismo nivel de preparación y recursos. Sin embargo, es reconfortante observar que existen numerosas estrategias que las empresas pueden implementar para mejorar su ciberresiliencia; si estas estrategias se abordan de manera sistémica, contribuirán al establecimiento de un ciberecosistema significativamente más sólido y seguro (Tsen et al., 2021).

¿Qué es la ciberresiliencia?

La ciberresiliencia se define como la capacidad integral de una organización para prever, resistir, recuperarse y adaptarse a los ciberincidentes adversos que puedan surgir. Este concepto abarca no solo la protección de los activos digitales, sino garantizar la capacidad de la organización para mantener la continuidad operativa, incluso después de un ciberataque. La necesidad de ciberresiliencia es cada vez más necesaria a la luz del aumento de las ciberamenazas sofisticadas y de la dependencia, cada vez mayor, de las infraestructuras tecnológicas que impregnan prácticamente todos los aspectos de las operaciones empresariales modernas (Escobar, 2023).

Desafíos actuales en ciberseguridad

Evolución de amenazas	Los atacantes están utilizando técnicas más avanzadas, lo que requiere que las organizaciones se mantengan actualizadas sobre las últimas tendencias.
Cumplimiento normativo	La necesidad de cumplir con regulaciones cada vez más estrictas complica la gestión de la seguridad.
Escasez de talento	La falta de profesionales calificados en ciberseguridad es un obstáculo significativo para muchas empresas.
Presupuestos limitados	Las restricciones financieras pueden limitar la capacidad de las organizaciones para invertir en tecnología y formación adecuadas.

Mejores prácticas para construir una organización ciberresiliente.

Evaluación continua del riesgo

Realizar auditorías periódicas y análisis de riesgos exhaustivos es fundamental para las organizaciones que desean identificar sus vulnerabilidades de manera efectiva. Estas prácticas permiten a las organizaciones priorizar estratégicamente sus limitados recursos y concentrar sus esfuerzos en las áreas más críticas y de alto riesgo que requieren atención inmediata (López, 2024). Además, la realización de auditorías, ayuda a comprender los vectores o cadenas de ataque específicos con los que una organización podría encontrarse en el panorama actual de las ciberamenazas.

2. Desarrollo de un plan de respuesta a incidentes

La formulación de un plan de respuesta a incidentes, estructurado y que articule protocolos claros para abordar varios tipos de ciberincidentes es de suma importancia. Este plan integral debe abarcar funciones y responsabilidades claramente definidas, procedimientos de escalamiento sistemático y protocolos de comunicación establecidos para garantizar una coordinación eficaz durante una crisis. También, es esencial realizar simulacros y simulaciones con regularidad para poner a prueba este plan, lo que permite a las organizaciones identificar y corregir cualquier área que pueda necesitar mejoras.

3. Capacitación y concienciación del personal

La formación continua del personal desempeña un papel fundamental en el cultivo de una cultura de seguridad generalizada dentro de la organización. La implementación de programas interactivos, la realización de talleres y la facilitación de escenarios de prueba simulados, pueden aumentar significativamente la conciencia de los empleados sobre los posibles riesgos y amenazas. La participación activa del personal en las iniciativas de seguridad puede mejorar notablemente la postura general de la organización frente a las ciberamenazas y vulnerabilidades(BBVA, 2023).

4. Implementación de tecnologías avanzadas

La integración de la inteligencia artificial (IA) en los marcos de ciberseguridad para la detección y la respuesta a las amenazas en tiempo real es cada vez más frecuente en las prácticas organizacionales contemporáneas. Las soluciones automatizadas impulsadas por la inteligencia artificial pueden servir como una línea de defensa crucial, ya que permiten a las organizaciones mitigar los riesgos antes de que se conviertan en incidentes graves que puedan poner en peligro la integridad operativa. Además, la adopción de un marco de seguridad basado en la confianza cero, puede reforzar las defensas de una organización, al tratar a cada usuario y dispositivo, como potencialmente dañinos hasta que se demuestre lo contrario.

5. Establecimiento de políticas robustas

La documentación de políticas de seguridad de la información claras y completas es esencial para comunicar de manera eficaz las expectativas y responsabilidades, tanto a los empleados como a los clientes externos. Dichas políticas deben someterse a revisiones y actualizaciones periódicas para garantizar que sigan siendo relevantes y respondan a la aparición de nuevas amenazas y tecnologías en evolución en el panorama de la ciberseguridad.

6. Colaboración con socios externos

Establecer y fomentar relaciones con otras partes interesadas y actores del sector, puede aportar información inestimable sobre las ciberamenazas emergentes y las mejores prácticas establecidas en este campo. Los esfuerzos de colaboración, no solo refuerzan la resiliencia interna, sino que sirven para fortalecer la integridad de toda la cadena de suministro mediante el intercambio de conocimientos y recursos.

7. Recuperación ante desastres

El desarrollo de un plan sólido de recuperación ante desastres es fundamental para garantizar la resiliencia organizacional frente a los ciberincidentes. Este plan debe incorporar el establecimiento de procedimientos claros para la copia de seguridad y la restauración de los datos, además de evaluar soluciones avanzadas como la «recuperación como servicio» (DRaaS) para mejorar la resiliencia profesional y la preparación en caso de interrupciones imprevistas.

¿Qué tecnologías avanzadas se recomiendan para mejorar la ciberresiliencia?

Para mejorar la ciberresiliencia, las organizaciones deben adoptar tecnologías avanzadas que les permitan anticipar, detectar y responder a las amenazas cibernéticas de manera efectiva. A continuación, se presentan algunas de las tecnologías más recomendadas:

Tecnologías Avanzadas	Como mejoran la ciberresiliencia
Inteligencia Artificial (IA) y Aprendizaje Automático	Están transformando la ciberseguridad al permitir la detección proactiva de amenazas. Pueden analizar grandes volúmenes de datos en tiempo real, identificando patrones y anomalías que podrían indicar un ataque. La automatización de respuestas a incidentes, impulsada por IA permite a las organizaciones reaccionar rápidamente ante amenazas, reduciendo el tiempo de respuesta y minimizando daños potenciales.
Autenticación Multifactor (AMF)	Añade una capa adicional de seguridad al requerir múltiples formas de verificación antes de conceder acceso a sistemas críticos. Esto es especialmente importante para proteger información sensible y prevenir accesos no autorizados. La adopción de métodos como la autenticación biométrica también está en aumento, proporcionando una solución eficaz contra ataques de phishing y robo de credenciales.
Arquitecturas Zero Trust	Implica que ninguna entidad, interna o externa, debe ser confiada automáticamente. Esto se traduce en un control riguroso del acceso a recursos y datos, donde cada solicitud es verificada antes de ser concedida. Implementar arquitecturas Zero Trust ayuda a mitigar el riesgo de brechas de seguridad, al limitar el acceso solo a aquellos que realmente lo necesitan.
Firewalls de nueva generación	Ofrecen capacidades avanzadas para proteger redes contra amenazas modernas. Estos dispositivos no solo filtran el tráfico, sino que integran funciones como la inspección profunda de paquetes y la prevención de intrusiones, lo que los convierte en una herramienta esencial para defenderse contra ataques sofisticados.
Protección de Endpoints	Se centra en asegurar dispositivos finales como computadoras y móviles. Esto incluye el uso de antivirus avanzados, herramientas antimalware y soluciones específicas para proteger contra ransomware. Dado que los endpoints son con frecuencia, el punto de entrada para los atacantes, su seguridad es crucial.
Cifrado de datos	Es fundamental para proteger información sensible tanto en tránsito como en reposo. Implementar soluciones robustas de cifrado, asegura que incluso si los datos son interceptados o robados, no puedan ser utilizados sin las claves adecuadas.
Análisis Forense Digital	Permite investigar incidentes cibernéticos después de que han ocurrido. Esta tecnología ayuda a las organizaciones a entender cómo se llevó a cabo un ataque, qué vulnerabilidades fueron explotadas y cómo prevenir futuros incidentes. Las herramientas forenses son esenciales para la recuperación y mejora continua.
Gestión de Identidad y Acceso (IAM)	Permiten controlar quién tiene acceso a qué recursos dentro de una organización. Estas herramientas ayudan a gestionar permisos y accesos, asegurando que solo los usuarios autorizados puedan acceder a información crítica.
Simulaciones y Capacitación Continua	Dejan a las organizaciones evaluar su preparación ante incidentes reales. La capacitación continua del personal sobre cómo identificar amenazas como el phishing es esencial para fortalecer la defensa humana contra ataques cibernéticos.
Soluciones en la Nube para Recuperación ante Desastres (DRaaS)	Conceden a las organizaciones restaurar rápidamente sus operaciones tras un incidente cibernético. Estas soluciones aseguran que los datos estén respaldados y sean fácilmente recuperables, minimizando el tiempo de inactividad.

La importancia de una cultura organizacional sólida

Fomentar una cultura organizacional que valore la ciberseguridad es esencial para el éxito a largo plazo. Esto implica no solo capacitar al personal, sino también involucrar a los líderes en la promoción activa de prácticas seguras. Una cultura sólida puede ser un factor diferenciador entre organizaciones que prosperan frente a los desafíos cibernéticos y aquellas que no lo hacen(Palou, 2023).

Conclusiones y recomendaciones finales

A medida que las amenazas cibernéticas continúan evolucionando, adoptar tecnologías avanzadas es esencial para mejorar la ciberresiliencia en 2024. Construir una organización ciberresiliente requiere un enfoque integral que aborde tanto las tecnologías como las personas involucradas. Las organizaciones deben implementar una combinación estratégica de herramientas tecnológicas junto con políticas robustas y capacitación continua del personal para crear un entorno seguro y resiliente frente a los desafíos actuales. Teniendo en cuenta las mejores prácticas para construir una organización ciberresiliente es fundamental que las organizaciones se preparen frente a un panorama de amenazas en constante evolución. Es crucial que las empresas evalúen sus estrategias actuales y realicen los ajustes necesarios para fortalecer su resiliencia. La implementación efectiva de estas prácticas no solo ayudará a mitigar los riesgos asociados con los ataques cibernéticos, sino que también permitirá a las organizaciones prosperar en un entorno digital cada vez más complejo.

Referencia Bibliográfica

BBVA. (2023, octubre 4). La empresa ciber-resiliente: La nueva estrella de la ciberseguridad. BBVA NOTICIAS. https://www.bbva.com/es/innovacion/la-empresa-ciber-resiliente-la-nueva-estrella-de-la-ciberseguridad/

Escobar, D. S. (2023). CIBERRESILIENCIA: UN NUEVO DESAFÍO EN LA FORMACIÓN DEL CONTADOR PÚBLICO. XLIV Simposio Nacional de Profesores de Práctica Profesional. https://www.aacademica.org/escobards/73

Foro Económico Mundial. (2024, enero 17). 4 formas de aumentar la ciberresiliencia frente a amenazas cada vez más diversas | Foro Económico Mundial. https://es.weforum.org/agenda/2024/01/4-formas-de-aumentar-la-ciberresiliencia-frente-a-amenazas-cada-vez-masdiversas/

Palou, N. (2023, diciembre 28). Ciberseguridad: Avances, tendencias y amenazas en 2023. Telefónica Tech. https://telefonicatech.com/blog/ciberseguridad-avances-tendencias-amenazas-2023

Tsen, E., Ko, R. K., & Slapničar, S. (2021). An exploratory study of organizational cyber resilience, its precursors and outcomes (SSRN Scholarly Paper No. 3735636). https://doi.org/10.2139/ssrn.3735636

Germán Andrés Sánchez Ortegón
Sep, Mar, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Descubriendo los secretos de la norma ISO/IEC 27001:2022: su guía definitiva sobre seguridad de la información

Introducción

A medida que la prevalencia de los ciberataques continúa aumentando a escala mundial, las organizaciones y empresas de diversos sectores comienzan a reconocer cada vez más la necesidad crítica de protegerse contra una amplia gama de actividades maliciosas que tienen como objetivo infiltrarse en sus sistemas y obtener acceso no autorizado a sus valiosos activos de información. Ante este panorama apremiante, es necesario que las organizaciones adopten un enfoque de gestión integral y eficaz para la seguridad de la información, lo que exige fundamentalmente la adopción de una postura proactiva que incluya la implementación de regulaciones y políticas sólidas diseñadas para mitigar los riesgos asociados con posibles ciberamenazas y ataques(Diéguez et al., 2023).

La norma ISO/IEC 27001:2022 representa un punto de referencia reconocido internacionalmente que proporciona un marco estructurado y sistemático para el establecimiento y el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI). Este estándar en particular es de suma importancia para cualquier organización que aspire a proteger sus activos de información de manera diligente, garantizando así que los elementos cruciales de confidencialidad, integridad y disponibilidad de los datos no solo se mantengan, sino que también se refuercen de manera efectiva(Kurii & Opirskyy, 2024).

¿Qué es la norma ISO/IEC 27001?

La ISO/IEC 27001 es la norma más conocida del mundo para SGSI. Define los requisitos que debe cumplir un SGSI. Además, proporciona a las empresas de cualquier tamaño y de todos los sectores, orientaciones para establecer, implantar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información. La conformidad con la ISO/IEC 27001 implica que una organización o empresa ha implantado un sistema para gestionar los riesgos relacionados con la seguridad de los datos que posee o maneja, y que este sistema respeta todas las buenas prácticas y principios contemplados en esta Norma Internacional(International Standard, 2022).

¿Por qué es importante la norma ISO/IEC 27001?

Con el aumento de la ciberdelincuencia y la aparición constante de nuevas amenazas, puede parecer difícil o incluso imposible gestionar los riesgos cibernéticos. La ISO/IEC 27001 ayuda a las organizaciones a ser conscientes de dichos riesgos y a identificar y abordar los puntos débiles de forma proactiva. Esta norma promueve un enfoque integral de la seguridad de la información, que abarca a las personas, las políticas y la tecnología. Un sistema de gestión de la seguridad de la información implantado conforme a esta norma es una herramienta clave para la gestión de riesgos, la resiliencia cibernética y la excelencia operativa(Chávez et al., 2024).

Norma ISO/IEC 27001:2022

Beneficios	Protección de la información	Ayuda a proteger la información sensible contra accesos no autorizados, robos y pérdidas
	Cumplimiento normativo	Facilita el cumplimiento de leyes y regulaciones relacionadas con la protección de datos, como el GDPR.
	Confianza del cliente	Al demostrar un compromiso con la seguridad de la información, las organizaciones pueden aumentar la confianza de sus clientes y socios comerciales.
	Mejora de la reputación	La certificación ISO/IEC 27001 puede mejorar la imagen de la organización, destacando su responsabilidad en la gestión de la seguridad de la información.
	Identificación de riesgos	Proporciona un marco para identificar, evaluar y gestionar riesgos relacionados con la seguridad de la información.
Estructura	Contexto de la organización	Se requiere que la organización entienda su contexto interno y externo, así como las partes interesadas y sus necesidades en relación con la seguridad de la información.
	Liderazgo	La alta dirección debe demostrar liderazgo y compromiso con el SGSI, asegurando que se asignen recursos adecuados y se establezcan roles y responsabilidades claras.
	Planificación	Se deben identificar y evaluar los riesgos relacionados con la seguridad de la información, así como establecer objetivos y planes para abordarlos.
	Apoyo	La norma enfatiza la importancia de la formación y concienciación del personal, así como la gestión de la documentación y la comunicación.
	Operación	Se deben implementar las medidas de seguridad necesarias para gestionar los riesgos identificados y cumplir con los objetivos establecidos.
	Evaluación del desempeño	La organización debe monitorear, medir y evaluar el desempeño del SGSI para asegurar su eficacia.
Implementación	Mejora continua	Se requiere que la organización tome medidas para mejorar continuamente el SGSI, basándose en los resultados de las evaluaciones y auditorías.
	Compromiso de la alta dirección	Es fundamental que la alta dirección esté comprometida con la implementación del SGSI y que asigne los recursos necesarios.
	Definición del alcance	La organización debe definir el alcance del SGSI, identificando qué activos de información se incluirán y qué áreas de la organización estarán cubiertas.
	Evaluación de riesgos	Realizar una evaluación de riesgos para identificar las amenazas y vulnerabilidades que afectan a los activos de información. Esto incluye la identificación de controles existentes y la determinación de la efectividad de estos controles.
	Desarrollo de políticas y procedimientos	Establecer políticas y procedimientos claros que guíen la gestión de la seguridad de la información dentro de la organización.
	Formación y concienciación	Proporcionar formación y concienciación a todos los empleados sobre la importancia de la seguridad de la información y sus roles en el SGSI.
	Implementación de controles	Implementar controles de seguridad para mitigar los riesgos identificados. Esto puede incluir medidas técnicas, administrativas y físicas.
	Monitoreo y revisión	Establecer un proceso de monitoreo y revisión para evaluar la eficacia del SGSI y realizar ajustes según sea necesario.
	Auditoría interna	Realizar auditorías internas para verificar el cumplimiento de la norma y la efectividad del SGSI.
	Certificación	Si se desea, la organización puede buscar la certificación por parte de un organismo de certificación acreditado para demostrar su cumplimiento con la norma ISO/IEC 27001:2022.
Desafíos en la implementación	Resistencia al cambio	Algunos empleados pueden resistirse a los cambios en los procesos y políticas de seguridad.
	Falta de recursos	La implementación puede requerir recursos significativos, tanto en términos de tiempo como de dinero.
	Complejidad del entorno tecnológico	La rápida evolución de la tecnología puede dificultar la identificación y gestión de riesgos.

Conclusiones y recomendaciones

La norma ISO/IEC 27001:2022 es esencial para cualquier organización que busque proteger sus
activos de información y cumplir con las regulaciones de seguridad. A través de un enfoque
sistemático y la implementación de un SGSI efectivo, las organizaciones no solo pueden mitigar
riesgos, sino también construir confianza y mejorar su reputación en el mercado. La seguridad de la
información es un proceso continuo que requiere compromiso y adaptabilidad, pero los beneficios a
largo plazo superan con creces los desafíos iniciales.

Referencias bibliográficas

Chávez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC 27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th International Conference on Cloud Computing, Data Science & Engineering, 184-189. https://doi.org/doi: 10.1109/Confluencia60223.2024.10463392.

Diéguez, M., Cares, C., Cachero, C., & Hochstetter, J. (2023). MASISCo—Methodological Approach for the Selection of Information Security Controls. Applied Sciences, 13(2), Article 2. https://doi.org/10.3390/app13021094

International Standard. (2022, octubre). Information security, cybersecurity and privacy protection—Information security management systems—Requirements. ISO. https://www.iso.org/es/contents/data/standard/08/28/82875.html

Kurii, Y., & Opirskyy, I. (2024). Overview of the Cis Benchmarks Usage for Fulfilling the Requirements From International Standard ISO/IEC 27001:2022. Scientific Journal «Computer Systems and Networks», 6(1), 89. https://doi.org/10.23939/csn2024.01.089

Germán Andrés Sánchez Ortegón
Sep, Jue, 2024

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Liderazgo en los sistemas de gestión de seguridad de la información

Introducción

El concepto de liderazgo es, sin lugar a dudas, un componente fundamental que influye de manera
significativa en la eficacia general y el éxito de los sistemas de gestión de la seguridad de la información
(SGSI) dentro de varios marcos organizacionales. Es necesario que un liderazgo eficaz, en particular por
parte de la alta dirección, no solo esté presente, sino que también participe de forma activa para garantizar que la seguridad de la información pase a ser una prioridad estratégica, facilitando así su integración en todos los procesos de negocio.

Un estudio realizado por la Asociación Española para la Calidad revela una estadística asombrosa:
aproximadamente el 60% de los incidentes de seguridad se producen como consecuencia directa de un
error humano. Esto sirve para recalcar la importancia tanto del compromiso, como del comportamiento
de los líderes para fomentar una cultura de seguridad sólida y resiliente dentro de sus organizaciones.
(AEC, s. f.)

Los marcos de SGSI que se adhieren a la norma ISO/IEC 27001, reconocida a nivel mundial, se han
adoptado en diversos sectores y regiones para salvaguardar la confidencialidad, la integridad y la
disponibilidad de los activos de información. Estos sistemas están diseñados para ser aplicables a
organizaciones de todos los tamaños, independientemente del sector específico en el que operen o de su
posición geográfica en el escenario mundial (Kurii & Opirskyy, 2023).

Asimismo, un informe publicado por Marketsand Markets prevé que el mercado mundial del SGSI
alcanzará una impresionante valoración de 48 000 millones de dólares en el año 2025, junto con una
importante tasa de crecimiento anual del 13,9% prevista para el período comprendido entre 2020 y 2025.

El papel del liderazgo en el SGSI

La última versión de la norma ISO/IEC 27001:2022 pone un énfasis aún mayor en el papel vital que
desempeña el liderazgo en el funcionamiento efectivo del SGSI. Es esencial que la alta dirección no solo
exprese su compromiso, sino que acepte y cumpla con las responsabilidades específicas que son cruciales para la implementación y el funcionamiento exitosos del sistema de gestión (Podrecca et al., 2022).

Estas responsabilidades incluyen garantizar que la política de seguridad de la información y sus objetivos asociados estén alineados estratégicamente con los objetivos comerciales generales de la organización. Conjuntamente, es necesario integrar los requisitos y mandatos del SGSI en los procesos organizativos más amplios para mejorar la coherencia y la eficacia.

Otra responsabilidad fundamental implica la asignación de recursos suficientes, tanto financieros como
humanos, para facilitar la implementación y el mantenimiento continuo del SGSI. También es imperativo
que la importancia de la seguridad de la información se comunique de manera efectiva a todos los
miembros de la organización, que fomente un entendimiento compartido y una responsabilidad colectiva. Asimismo, la alta dirección debe garantizar que el SGSI logre de manera consistente los resultados y objetivos previstos que se han establecido (Izquierdo, 2023).

Funciones y desafíos de liderazgo

Para ejercer un liderazgo efectivo en el ámbito de la seguridad de la información, la alta dirección debe
adoptar un enfoque multifacético que abarque varios comportamientos y prácticas clave. Deben predicar
con el ejemplo, demostrando de manera efectiva a través de sus propias acciones y comportamientos la
importancia primordial de la seguridad y la protección en el contexto organizacional.

Al mismo tiempo, es crucial que los líderes escuchen activamente a su personal sobre el terreno y se
relacionen con él, dedicándose el tiempo necesario para comprender las realidades y los desafíos a los que se enfrentan los empleados en el día a día. Reconocer y valorar las prácticas de seguridad ejemplares es esencial, ya que promueve una cultura de equidad y rendición de cuentas (Organismo Internacional de Energía Atómica, s. f.).

Los líderes tienen la tarea de proporcionar los recursos técnicos y organizativos necesarios para
implementar controles de seguridad efectivos en toda la organización. Cultivar un espíritu de equipo
orientado a la seguridad y arraigado en el respeto mutuo también es un aspecto vital del liderazgo efectivo (Reyes Chacón et al., 2021).

Sin embargo, los líderes se enfrentan a varios desafíos importantes que pueden obstaculizar su eficacia en este ámbito. Uno de los principales, es la necesidad de mantener la seguridad de la información como una prioridad continua, particularmente ante las presiones empresariales contrapuestas que compiten por la atención y los recursos.

La comunicación efectiva del valor inherente de la seguridad, a las partes interesadas que pueden carecer de experiencia técnica, es otro obstáculo que los líderes deben superar. Igualmente, atraer y retener talento especializado en el campo de la ciberseguridad, plantea un desafío importante, especialmente en un mercado laboral cada vez más competitivo. Por último, los líderes deben demostrar agilidad y adaptabilidad para responder al panorama en constante evolución de las amenazas a las que se enfrentan las organizaciones, lo que requiere un enfoque proactivo en lugar de reactivo en la gestión de la seguridad (Certification & Webmaster, 2020).

Conclusiones y reflexiones finales

El liderazgo representa un elemento fundamental crucial que contribuye a la eficacia de los SGSI, así
como al establecimiento y mantenimiento de una cultura de seguridad resiliente dentro de una
organización. Es fundamental garantizar que la estrategia de seguridad se alinee meticulosamente con los objetivos empresariales generales de la organización y, al mismo tiempo, se comunique con la máxima claridad a todas las partes interesadas pertinentes. Se debe desarrollar y promover activamente políticas de seguridad integrales que se adapten cuidadosamente al contexto específico y a las circunstancias únicas de la organización en cuestión.

El personal directivo superior debe participar activamente en los procesos de gestión de riesgos y en las
actividades de toma de decisiones relacionadas con las cuestiones relacionadas con la seguridad,
reforzando así su compromiso con estas áreas críticas. Es esencial fomentar una cultura organizacional
que haga hincapié en la confianza y el aprendizaje continuo; en ese entorno, las prácticas ejemplares se
reconocen y recompensan, mientras que los errores se someten a un análisis justo y constructivo.

Referencias bibliográficas

Asociación Española para la Calidad (AEC). (s. f.). AEC. Recuperado 3 de septiembre de 2024, de
https://www.aec.es/conocimiento/conocimiento-aec/
Certification, G., & Webmaster, A. (2020, diciembre 18). 5 claves para el liderazgo en los sistemas de gestión. Global Standards. https://www.globalstd.com/blog/5-claves-para-el-liderazgo-en-los-sistemas-de-gestion/

Izquierdo Pomalazo, J. E. (2023). Implementación de un SGSI bajo la norma ISO/27001 para la gestión de la seguridad de la información en la Comunidad Campesina San Antonio, 2023. Repositorio Institucional – UTP. http://repositorio.utp.edu.pe/handle/20.500.12867/8440

Kurii, Y., & Opirskyy, I. (2023). Analysis of changes and compliance features of the new version of the standard. Cybersec, 3, 46-55. https://doi.org/10.28925/2663-4023.2023.19.4655

Organismo Internacional de Energía Atómica. (s. f.). Liderazgo y gestión en relación con la seguridad tecnológica y física | OIEA. Recuperado 3 de septiembre de 2024, de https://www.iaea.org/es/temas/liderazgo-y-gestion-en-relacion-con-la-seguridad-tecnologica-y-fisica

Podrecca, M., Culot, G., Nassimbeni, G., & Sartor, M. (2022). Information security and value creation: The performance implications of ISO/IEC 27001—ScienceDirect. ScienceDirect, 142, 103744. https://doi.org/10.1016/j.compind.2022.103744

Reyes Chacón, D. A., Cadena López, A., & Rivera González, G. (2021). El Sistema de Gestión de Calidad y su relación con la innovación. INTER DISCIPLINA, 10(26), 217. https://doi.org/10.22201/ceiich.24485705e.2022.26.80975

Categoría SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Introducción

Importancia de la gobernanza de datos

Estrategias para una gestión eficiente

Beneficios Tangibles

Desafíos en la gobernanza de datos

Conclusiones

Introducción

Estructura de la Norma

Conclusiones

Introducción

Cambios clave en la norma

Cambios en las Cláusulas

Cambios en los controles del Anexo A

Nuevos Controles

Enfoque en ciberseguridad y privacidad

Implicaciones para las organizaciones

Conclusiones y recomendaciones finales

Introducción

Variantes del phishing:

Funcionamiento del Ransomware:

Comparativa entre Phishing y Ransomware:

Conclusiones y recomendaciones finales:

Introducción

Tendencias en materia de ciberamenazas

Entre las principales tendencias se encuentran:

Estrategias para mantenerse un paso por delante

Conclusiones y recomendaciones finales

Introducción

El potencial transformador de la norma ISO/IEC 27001:2022 para operaciones comerciales

Protección esencial de los datos críticos

Mejorar la reputación y la confiabilidad de los clientes

Beneficios de implementar ISO 27001

Conclusiones y recomendaciones finales

Introducción

Principales riesgos de Ciberseguridad

Consejos esenciales para proteger las empresas

Conclusiones y recomendaciones

Introducción

¿Qué es la ciberresiliencia?

Mejores prácticas para construir una organización ciberresiliente.

¿Qué tecnologías avanzadas se recomiendan para mejorar la ciberresiliencia?

La importancia de una cultura organizacional sólida

Conclusiones y recomendaciones finales

Introducción

¿Qué es la norma ISO/IEC 27001?

¿Por qué es importante la norma ISO/IEC 27001?

Conclusiones y recomendaciones

Introducción

El papel del liderazgo en el SGSI

Funciones y desafíos de liderazgo

Conclusiones y reflexiones finales