SEGURIDAD DE LA

INFORMACIÓN
M1- INTRODUCCIÓN A LA
SEGURIDAD DE LA INFORMACIÓN
 ÍNDICE
1| Presentación del módulo

2| Logro básico del módulo

3| Objetivos específicos

4| Competencias relacionadas con el módulo

5| Núcleos Temáticos

6| ¿Qué vas a encontrar en el módulo?

7| Tips para obtener mejores resultados

8| ¡Es momento de aprender!

9| Anexo

10| Referencias
 Seguridad de la Información 3

1 Presentación del módulo

El alcance de este módulo está dirigido a crear competencias y habilidades para
entender el valor de los activos tangibles e intangibles de hardware, software,
comunicaciones y recursos humanos.
Igualmente, se crean competencias para identificar los conceptos fundamentales
de un sistema de gestión de seguridad de la información.
En este sentido, el objetivo primordial del curso es fomentar en el estudiante
competencias como gestor de la seguridad de la información que acarrea la
implementación de estrategias que cubran los procesos de la organización, en
los cuales la información es el activo primordial.

2 Logro básico del módulo

El estudiante estará en la capacidad de proteger la información de las
organizaciones de los diferentes riesgos informáticos que puedan alterar o dañar
los recursos informáticos, por medio de diversos mecanismos, siguiendo las
técnicas de seguridad y las mejores prácticas de la industria relacionadas con
seguridad de la información.

3 Objetivos específicos
Este material de aprendizaje busca:
1. Proteger los activos de información de la empresa, con base en los criterios
de confidencialidad, integridad y disponibilidad.
2. Administrar los riesgos de seguridad de la información para mantenerlos en
niveles aceptables.
3. Implementar acciones correctivas y de mejora para el Sistema de Gestión de
Seguridad de la Información.
4. Crear campañas de sensibilización y capacitación a los empleados de
la empresa fortaleciendo el nivel de conciencia de estos, en cuanto a la
necesidad de salvaguardar los activos de información institucionales.
5. Monitorear el cumplimiento de los requisitos de seguridad de la información
mediante el uso de herramientas de diagnóstico, revisiones por parte de la
Alta Dirección y auditorías internas planificadas a intervalos regulares.
 Seguridad de la Información 4

4 Competencias relacionadas con el módulo

El participante al finalizar el estudio del curso:
• Comprende el proceso de Seguridad de la Información, por medio del
cual identifica y gestiona la información y los riesgos a los que se puede
ver enfrentada, a través de estrategias y acciones de mitigación que dan
la posibilidad de asegurar, y mantener de manera confidencial, íntegros y
disponibles los datos de una empresa.
• Proporciona las herramientas necesarias para diseñar, planear y ejecutar un
Sistemas de Gestión de Seguridad de la Información.
• Propone las recomendaciones de seguridad con el fin de generar valor para
el negocio mediante estrategias de defensa en profundidad.

5 Núcleos Temáticos
n.° del
Nombre Temario
Núcleo
• Introducción al Curso
Conceptos y Lineamientos
• Triada de la Seguridad de la
Metodológicos para la
1 Información
Gestión de la Seguridad
de Información • Diferencias entre Seguridad de la
Información y Seguridad Informática

Analizar los Fundamentos
2 de la Gestión de Seguridad
de Información
• Roles y Responsabilidades
• Activos de información
• Clasificación de la información

• Aplicar la Gestión de Riesgos de

Evaluación y Gestión de seguridad de Información con el fin
3 Riegos en Seguridad de de Mitigar el Nivel de Impacto
Información
• Riesgo Cibernético
 Seguridad de la Información 5

6 ¿Qué vas a encontrar en el módulo?

Un curso diseñado para 10 horas de autoaprendizaje: destinado a la lectura y
análisis de contenidos, participación a través de herramientas didácticas propias
de los entornos virtuales.
En cada unidad, encontrarás dispositivos pedagógicos para apoyo metodológico,
donde se dispondrá una guía de actividades semanal que orienta el proceso y
ruta que debe realizar el estudiante en pro de su proceso de aprendizaje. En
dicho texto, se incluyen las competencias de cada unidad. En la semana de cada
unidad, se encuentra la cartilla (documento que el autor elaboró especialmente
para el módulo) y lecturas complementarias si el tema lo requiere. Después de
las lecturas están los contenidos multimediales, los cuales pueden ser:
• Objetos Virtuales: recursos digitales utilizados con un propósito educativo;
permite interacción y selección de la ruta de aprendizaje, que en está
ocasión será un caso teórico práctico interactivo referente al SENA.
• Video cápsulas: videos cortos que presentan el desarrollo de un proceso,
un ejemplo, un procedimiento, un ejercicio, un contenido. Tienen como
propósito complementar, repasar, indicar procesos y procedimientos
requeridos para un acto específico del aprendizaje.
• Material complementario: son materiales complementarios que se incluyen
en las diferentes semanas para reforzar los aprendizajes (audios o podcast,
juegos o enlaces web, lecturas, entre otros).
• Videos de Apoyo: son videos de valor ubicados en la Web con el fin de
generar reflexión y asimilación de conocimiento.
• Foro: se realizará de forma asincrónica, aquí el estudiante tendrá la
posibilidad de preguntar y despejar inquietudes.
La evaluación del módulo se llevará a cabo a través de un quiz individual, según
los parámetros de la universidad; velando por la formación y la evaluación
integral de los estudiantes.
 Seguridad de la Información 6

7 Tips para obtener mejores resultados

1. Lee con mucha atención este material y navégalo en su totalidad.
2. Para facilitar la comprensión de los contenidos, puedes hacer uso de
estrategias como: tomar apuntes, revisar los temas las veces que lo
requieras, realizar diagramas, tablas o mapas conceptuales o utiliza cualquier
otra técnica de estudio que te permita alcanzar tus logros.
3. Maneja adecuadamente tu tiempo, recuerda que tienes tres semanas para
consumir todo el contenido del módulo.
4. Busca un lugar cómodo y tranquilo, sin ruido ni distractores que puedan
afectar tu concentración y disponte a recibir este conocimiento con la mejor
actitud.
Ahora sí, ¡comienza!

8 ¡Es momento de aprender!

A continuación, te invito a navegar por la ruta del conocimiento.
1.

Unidad 1. Conceptos y Lineamientos Metodológicos para

la Gestión de la Seguridad de Información

El uso masivo de las tecnologías de la información y las telecomunicaciones

(TIC), en todos los ámbitos de la sociedad ha generado nuevos retos en el uso
de las telecomunicaciones entre ellos los cambios tecnológicos, es por ello que
las empresas privadas como las entidades gubernamentales y la ciudadanía en
general tienen dependencia de la Internet y de las Tecnologías de la Información
y las Comunicaciones (TIC) inmersas en lo que se conoce como la Industria 4.0.1

1 Industria 4.0 ha sido un término acuñado por el Gobierno alemán con el soporte de industrias alema-
nas para describir la digitalización de sistemas y procesos industriales, y su interconexión.
 Seguridad de la Información 7

Es por ello que la información se transforma en un conjunto organizado de datos

procesados que constituyen un mensaje que cambia el estado de conocimiento
del sujeto o sistema que recibe dicho mensaje y se convierte en el activo más
importante de las empresas.
Esta información que se procesa, se intercambia, se transforma y se almacena
en redes de datos, equipos informáticos y soportes de almacenamiento, está
sometida a potenciales amenazas de seguridad de diversa índole, a su vez la
procedencia de estas amenazas puede ser catalogada a nivel físico o lógico (ver
figura 1).

Figura 1
Amenazas Internas y Externas

Tomado de https://www.onasystems.net/vulnerabilidades-importantes-afectan-la-seguridad-
bases-datos-las-empresas/

Es posible en tiempo real conocer esos ataques que se generan a nivel mundial
(ver figura 2).
 Seguridad de la Información 8

Figura 2
Ciberamenazamapa en tiempo real

Tomado de https://cybermap.kaspersky.com/es/

Sin embargo, aunque el panorama de riesgos emergentes es alto, es posible

disminuir de forma significativa la materialización de las amenazas y con ello
el impacto generado, la forma de lograr ese objetivo es conocer y gestionar de
manera ordenada los riesgos a los que está sometido el sistema informático,
considerando los procedimientos adecuados y planificar e implantar los
controles de seguridad que correspondan, estas ideas han sido propuestas en el
CONPES 3701 y CONPES 3854 respectivamente.
Las organizaciones poseen información que debe proteger frente a los riesgos
y amenazas para asegurar el correcto funcionamiento de su negocio, este tipo
imprescindible de información es lo que se denomina Activo de Información y su
protección es el objetivo todo sistema de gestión de seguridad de la información.
La definición de activo de información dispuesta por el Departamento
Nacional de Planeación, que se encuentra en el documento Lineamiento para la
identificación de activos de información en el sistema de seguridad de la información.
Tomada de https://colaboracion.dnp.gov.co/CDT/DNP/SE-L03%20Lineamiento%20para%20la%20
identificaci%C3%B3n%20de%20activos.Pu.pdf
 Seguridad de la Información 9

1.1. Diferencias entre Seguridad de la Información y Seguridad

Informática
No se debe confundir la seguridad de la información con la seguridad informática, ya
que la seguridad de la información abarca muchas más áreas y se define como: “La
protección de la confidencialidad, integridad y disponibilidad de los activos de
información con el fin de alcanzar los objetivos de negocio de la organización”,
mientras que la seguridad informática se encarga de la protección de las
infraestructuras TIC que soportan el negocio. La seguridad de la información la
encontramos como un proceso estratégico, entre tanto la seguridad informática
es más operativa, por lo que se concluye que la seguridad de la información
abarca la seguridad informática (ver figura 3).

Figura 3
Seguridad de la información vs. seguridad informática

Tomado de https://seguridadetica.wordpress.com/2013/09/16/seguridad-informatica-o-seguridad-de-
la-informacion/

1.2. Triada de la Seguridad de la Información

Como se mencionó anteriormente la seguridad de la información, se refiere a la
protección de la confidencialidad, integridad y disponibilidad de los activos de
información según sea necesario para alcanzar los objetivos de negocio de la
organización. A continuación (ver figura 4)., observa en qué consisten estos tres
pilares:
• Confidencialidad: la información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
 Seguridad de la Información 10

• Integridad: mantenimiento de la exactitud y completitud de la información y

sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de
tratamiento de esta por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

Figura 4
Pilares Seguridad de la información

Tomado de http://antisec-sys.blogspot.com/2016/06/objetivos-de-la-seguridad.html

A continuación, te invito a observar el video Definición de la Seguridad de la

Información y sus Tres Pilares.
2.
 Seguridad de la Información 11

Unidad 2. Analizar los Fundamentos de la Gestión de

Seguridad de Información

La seguridad de la información busca minimizar los riesgos asociados con

el acceso y el uso del activo más importante de la organización que es la
información, poniendo especial cuidado cuando la información es usada de
forma no autorizada y en general de manera maliciosa. Para salvaguardarla debe
establecerse normas que minimicen los riesgos, lo cual implica la necesidad
de una gestión con el fin de evaluar y cuantificar los activos de información a
proteger y con base en dichos análisis, aplicar medidas preventivas y correctivas.

2.1. Roles y Responsabilidades

Cuando la organización determina la importancia de implementar un sistema de
gestión de Seguridad de la Información, el primer paso es definir la estructura
organizacional, en la cual se determine roles con funciones y responsabilidades
para la ejecución de las actividades; esta asignación de tareas permite mayor
eficacia y eficiencia en la ejecución y seguimiento de las actividades.
Las responsabilidades que se definen para cada rol, dependen de las metas
establecidas para las diferentes actividades. Con el fin de elegir de forma
adecuada el responsable se sugiere generar un análisis de cargas y de
segregación de funciones, así de forma proactiva es posible detectar errores
involuntarios. A continuación, se especifican los roles y las responsabilidades:

Roles Responsabilidades
Es el individuo o grupo de individuos responsable de ciertos
datos específicos. Clasifican la información según el grado de
sensibilidad y criticidad de la misma, igualmente se encargan de
Propietario
documentar y mantener actualizada la clasificación efectuad, y
o Dueño
de definir qué usuarios deberán tener permisos de acceso a la
información de acuerdo a sus funciones. No necesariamente es
la persona que va a usar la información.
 Seguridad de la Información 12

Roles Responsabilidades
Son los individuos o grupo de individuos a los cuales se les deja
en posesión delegada por su dueño la información. Son los
encargados de velar por la seguridad de información que está a
su cargo. Entre sus obligaciones, está la de realizar los respaldos
y sus verificaciones, la recuperación de información desde dichos
Custodios
respaldos y encargado de administrar, y hacer efectivos los
controles de seguridad que el propietario de la información haya
definido con base en los controles de seguridad existentes en la
organización. Los custodios de información son responsables de
protegerla y resguardarla de accesos indebidos o no autorizados.
Es el individuo o grupo de individuos autorizado a interactuar
con el sistema y sus datos, utilizando la información para
llevar a cabo las funciones de su trabajo. Son considerados
los consumidores de la información y deben velar por la
Usuarios
preservación de la clasificación de la información en su uso
cotidiano. Es responsabilidad de cada usuario proteger y
resguardar toda información confidencial o restringida de la
organización.

Ejemplo: una base de datos de clientes puede pertenecer al director

comercial de la compañía, su gestión puede estar encargada al área de
tecnología y sus usuarios ser el grupo de vendedores.

2.2. Activos de información

Ya viste que un activo de información es la información que, por su importancia
para las actividades de la organización, ha sido declarada un bien que tiene un
valor significativo. Además, es un activo que, como otros activos importantes
del negocio, es esencial para las actividades de la empresa y en consecuencia,
necesita una protección adecuada.
Pueden clasificarse en diferentes grupos según su naturaleza, de acuerdo con el
estándar MAGERIT versión 3.0 Metodología de Análisis y Gestión de Riesgos de
la Información Libro 1, de la siguiente manera:
 Seguridad de la Información 13

Son la materialización de la información, son el núcleo del

Datos sistema, mientras que el resto de los activos les presta
soporte de almacenamiento o manipulación.
Proceso de negocio de la organización que se consideran
Servicios el Core de la operación, los mismos pueden ser prestados
a nivel interno o externo de la organización.
Las aplicaciones
Permiten manejar los datos.
informáticas (software)

Los equipos
Permiten almacenar datos, aplicaciones y servicios.
informáticos (hardware)
Son quienes operan todos los elementos anteriormente
Personal citados, incluye personal contratado o terceros
involucrados.
Redes de
Permiten intercambiar, transmitir y enviar información.
comunicaciones
Brinda soporte a los sistemas de información y no se han
Equipamiento auxiliar
incluido en ningún otro grupo.

Intangibles Como la imagen o reputación de la organización.

2.3. Clasificación de la Información

Para proteger los activos de información de una organización, es necesario
conocerlos e identificarlos, se considera una buena práctica realizar un
inventario de activos de información en el cual se identifiquen y clasifiquen.
La razón de esta clasificación radica en que no todos los activos de información
tienen la misma importancia para la organización, ni generan el mismo impacto
en las operaciones en caso de verse afectados. Por ello es recomendable realizar
dicha clasificación en función de la relevancia para el negocio y del impacto
que un incidente informático puede causar a la organización. Cada activo de
información presente en el inventario debe incluir como mínimo su descripción,
ubicación, propietario y clasificación (ver tabla 1).

Tabla 1
Clasificación de la información
Clasificación Definición
Es aquella información
que es exceptuada de
acceso a la ciudadanía por
daño a intereses públicos
y bajo cumplimiento de la
totalidad de los requisitos
consagrados en el artículo
19 de la Ley 1712/2014.
Reservada
Información disponible
sólo para un proceso de la
entidad y que en caso de
ser conocida por terceros
sin autorización puede
conllevar un impacto
negativo de índole legal,
operativa, de pérdida de
imagen o económica.
Es aquella información
que pertenece al ámbito
propio, particular y
privado o semiprivado
de una persona natural
o jurídica por lo que su
acceso podrá ser negado
o exceptuado, siempre
que se trate de las
circunstancias legítimas y
necesarias y los derechos
particulares o privados
Clasificada consagrados en el artículo
18 Ley 1712/2014.
Esta información es
propia de la entidad
o de terceros y puede
ser utilizada por todos
los funcionarios de la
entidad para realizar
labores propias de los
procesos, pero no puede
ser conocida por terceros
sin autorización del
propietario.
Seguridad de la Información 14
Ejemplos Posibles impactos
• Seguridad nacional • Pérdida de vidas
• La salud pública • Lesiones serias o
irreparables
• La estabilidad
acroeconómica del país • Pérdida de la
• La información que seguridad pública
sirva para la prevención, • Pérdidas financieras
investigación y significativas
persecución de los • Compromiso del
delitos y las faltas sistema legal
disciplinarias, mientras
• Destrucción de
que no se haga
relaciones con
efectiva la medida
terceros
de aseguramiento o
se formule pliego de • Sabotaje o
cargos, según el caso. terrorismo
• Dar acceso a las hojas • Discriminación
de vida • Pérdida de la
• Imágenes de personas seguridad de la
entidad.
• Grabaciones que
afecten a la intimidad • Compromiso del
de una persona sistema legal.
• Publicaciones que • Sabotaje
afecten a la intimidad • Pérdida de
de una persona reputación.
• Historia laboral • Pérdida de la
• Expedientes confianza en el
pensionales gobierno.
• Configuración de la • Pérdida de la
infraestructura. privacidad de
• Ubicación áreas individuos.
restringidas
 Seguridad de la Información 15

Clasificación Definición Ejemplos Posibles impactos

• Nombres y apellidos • Ningún impacto
Es toda información
que se genere, obtenga, • Prepliegos, pliegos de • Mínimos
adquiera o controle. condiciones. inconvenientes si no
• Convocatorias está disponible.
Información que puede
• Si se pierde
ser entregada o publicada
temporalmente, o
Pública sin restricciones a
no está disponible
cualquier persona dentro
temporalmente, no
y fuera de la entidad, genera impactos
sin que esto implique negativos
daños a terceros ni a las
actividades y procesos de
la entidad.

Fuente: adaptada de www.archivogeneral.gov.co/sites/default/files/Estructura_Web/3_

Transparencia/3.3%20Procesos%20y%20Procedimientos/GIT-G-01_GUIA_PARA_LA_
CALIFICACI%C3%93N_DE_LA_INFORMACI%C3%93N_AGN.pdf

3.

Unidad 3. Evaluación y Gestión de Riegos en Seguridad

de Información

Los riesgos que afectan los activos de información, pueden ser accidentales o
provocados, por tanto, las medidas que se deberían adoptar para poder conocer,
prevenir, impedir, reducir o controlar cualquier tipo de riesgo, abarcan toda la parte
de la infraestructura a nivel de hardware y software, personal humano y demás.

“El único sistema totalmente seguro es aquel que está apagado, desconectado
de la red, guardado en una caja fuerte de titanio, encerrado en un bunker de
concreto, rodeado por gas venenoso y cuidado por guardias muy bien armados y
muy bien pagados. Aun así, no apostaría mi vida por él.” -- Eugene Spafford
 Seguridad de la Información 16

3.1. Aplicar la Gestión de Riesgos de Seguridad de Información

con el Fin de Mitigar el Nivel de Impacto
Se requiere de una estrategia para tratar los aspectos de seguridad, lo cual
implica la implementación de los controles necesarios para garantizar el
cumplimiento de la política de seguridad y privacidad de la información, a partir
de la gestión del riesgo2.
Los principios de la gestión del riesgo, se encuentran descritos en varios
estándares internacionales, simplemente como referencia utilizaremos el
estándar ISO 31000, en el cual se representa la gestión del riesgo como parte
integral de todos los procesos de la organización y por consiguiente parte
fundamental en la administración de la seguridad, permitiendo beneficios
empresariales como la identificación de los puntos más débiles de la estructura
de TI que dan soporte a los procesos críticos de la organización.
En este panorama, en el cual se enmarca la gestión del riesgo tecnológico como
piedra angular para la implementación de un sistema de gestión de la seguridad
es importante:
• Determinar los activos de información que van a ser objeto de la evaluación.
• Determinar los riesgos a los que están expuestos.
• Determinar la probabilidad y el impacto de la materialización de las amenazas3.
• Implementar los controles4 que protejan los activos informáticos de
manera rentable.
• Revisar continuamente este proceso y perfeccionarlo cada vez que una
vulnerabilidad5 sea encontrada.

2 Se considera riesgo la estimación del grado de exposición de una activo, a una amenaza materializada la cual
causa un impacto negativo en la organización.
3 Son los eventos que pueden desencadenar un incidente provocando daños materiales e inmateriales a los activos
de información.
4 Prácticas, procedimientos, o mecanismos que reducen el riesgo.

5 Una vulnerabilidad es una debilidad que es públicamente conocida.

 Seguridad de la Información 17

Por ello, para realizar una adecuada gestión del riesgo se debe identificar varios
aspectos:
• El análisis del riesgo, consiste en identificar los riesgos de seguridad en la
organización, determinar su magnitud e identificar las áreas que deberán
implementar los controles6.
Para evitar subjetividad durante esta fase, se recomienda hacer un trabajo
colaborativo y multidisciplinario entre todas las áreas involucradas.
• La Evaluación de Riesgos está orientada a determinar los activos de
información que pueden verse afectados directa o indirectamente por
amenazas, valorando los riesgos y estableciendo sus niveles a partir de las
posibles amenazas, las vulnerabilidades existentes y el impacto que puedan
causar a la organización.
• La valoración de Riesgos implica la identificación, selección, aprobación
y manejo de los controles a establecer para eliminar o reducir los riesgos
evaluados a niveles aceptables, con acciones destinadas a:
• Reducir la probabilidad de que una amenaza ocurra.
• Limitar el impacto de una amenaza, si esta se manifiesta.
• Reducir o eliminar una vulnerabilidad existente.
• Permitir la recuperación del impacto o su transferencia a terceros.
Para ello se cuenta con las siguientes técnicas de manejo del riesgo a fin de
afrontar estos riesgos:

Mitigarlo Asumirlo Transferir Eliminar el riesgo

Se trata de Este implica que
implantar una no se van a tomar
serie de medidas medidas de protección
que actúen como contra este riesgo,
salvaguardas para esta decisión debe
los activos. ser tomada por la
alta dirección de la
organización, y solo es
viable en el caso que la
organización controle
el riesgo y vigile que no
aumente.
Es buscar un Suele ser la opción
respaldo contractual más costosa, pues
para compartir el consiste en eliminar
riesgo con otras los activos a los cuales
entidades, se valora se asocia el riesgo,
la subcontratación de y se considera la
un seguro que cubra opción más drástica
los gastos en caso de por lo cual se buscan
que se materialice un medidas alternativas.
riesgo.

6 Un control jamás debe tener un costo mayor al activo que está protegiendo.
 Seguridad de la Información 18

Una vez decididas y documentadas las medidas que se aplicarán a los riesgos
identificados se debe realizar un nevo análisis. Este análisis resultante se conoce
como el riesgo residual de la organización.
Frente a este tema el Dr. Jeimi Cano, ha dilucidado cómo la gestión de riesgos
es una práctica gerencial consolidada en las organizaciones modernas y que el
adelantar este ejercicio permite a las empresas establecer marcos referentes de
acción que habilitan estrategias de negocio. (Cano 2018)
La norma ISO 27002 es una guía de buenas prácticas que ofrece una guía
exhaustiva de controles a implantar como medidas de seguridad en la organización7.
Dicho estándar promueve la adopción de un enfoque basado en procesos con el
fin de establecer, implementar, operar, dar seguimiento, mantener y mejorar el
Sistema de gestión de seguridad de la información de una organización; para ello
adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA), que
se aplica para estructurar todos los procesos del SGSI en correspondencia con la
ISO-IEC 27001.
El Sistema de Gestión de seguridad de la información se compone de cuatro
procesos básicos (ver figura 5).

Figura 5
Modelo PHVA aplicado a los procesos del SGSI

Fuente: elaboración propia

7 https://tienda.icontec.org/gp-tecnologia-de-la-informacion-tecnicas-de-seguridad-codigo-de-practica-para-controles-de-se-
guridad-de-la-informacion-gtc-iso-iec27002-2015.html
 Seguridad de la Información 19

El detalle de cada fase (ver figura 6 y tabla 2) se describe a continuación:

Tabla 2
Descripción fases PHVA

Fase Descripción
Establecer las políticas, los objetivos, procesos y procedimientos de
Planificar seguridad necesarios para gestionar el riesgo y mejorar la seguridad
(Establecer el SGSI) informática, con el fin de entregar resultados acordes con las
políticas y objetivos globales de la organización.

Hacer Tiene como objetivo fundamental garantizar una adecuada

(Implementar y implementación de los controles seleccionados y la correcta
operar el SGSI) aplicación de estos.

Verificar Evaluar el desempeño de los procesos vs. la política y los objetivos

(Revisar y dar de seguridad, con el fin de reportar los resultados a la dirección,
seguimiento al SGSI) para su revisión.

Actuar Emprender acciones correctivas y preventivas basadas en los

(Mantener y mejorar resultados de la verificación y la revisión por la dirección, para lograr
el SGSI) la mejora continua del SGSI.

Fuente: elaboración propia

Figura 6
Detalle de las fases PHVA

Fuente: elaboración propia a partir basada en el estándar AS/NZ 4360

 Seguridad de la Información 20

Link de Interés. En el siguiente link, encontrarás información sobre la

gestión en la seguridad de la información. De seguro te ayudará para
conocer las diferentes etapas en las cuales se desarrolla la metodología.
www.novasec.co/blog/62-gestion-integral-de-la-seguridad-de-la-
informacion

3.2. Riesgos de la Seguridad Digital

De acuerdo con lo publicado en el documento Ciberseguridad una guía de
supervisión del Instituto de Auditores Internos de España, los principales riesgos
cibernéticos a los que se exponen todos los usuarios del ciberespacio se pueden
clasificar como aparecen en la tabla 3.

Tabla 3
Riesgos de la seguridad digital

Riesgo cibernético Descripción

Las instituciones y entidades financieras son uno de los
principales objetivos de los ciberdelincuentes. El robo
Fraude financiero
económico representa una de las principales motivaciones de
la gran mayoría de ciberatacantes.

La información de carácter personal o documentos

Riesgo de fraude por
alteración de permisos
clasificados son algunos de los principales activos de
información que deben ser especialmente protegidos. La
filtración pública o pérdida de la información confidencial es
un riesgo elevado, cuyos impactos o pérdidas pueden resultar
especialmente significativos.

Riesgo de interrupción o
daño operativo, debido a
la falla de las tecnologías Es la interrupción puntual o prolongada de los servicios
digitales utilizadas por ofrecidos en línea como, por ejemplo: correos, pagos
medio del entorpecimiento, financieros, cobro de impuestos, registros públicos, entre
modificación o destrucción otros.
no autorizada de los activos
de información
 Seguridad de la Información 21

Riesgo cibernético Descripción

Riesgo de interrupción o daño

operativo como resultado
de la falla de los sistemas de Son los ataques contra los servicios o infraestructuras
críticas de un país o Estado, provocando desabastecimientos,
tecnología de la información,
o interrupciones de comunicaciones, etc. con el objetivo
en especial en las de provocar una paralización puntual o prolongada de los
configuraciones adecuadas mismos.
y por medio del sabotaje de
infraestructuras

Es una de las principales consecuencias de las agresiones

Pérdida de reputación cibernéticas y el objetivo de gran parte de los ciberataques,
cuyos efectos pueden resultar altamente significativos.

Tomado y adaptado del Instituto de Auditores Internos de España (2016)

¡Importante! A la hora de implementar un sistema de seguridad de la

información en una organización, se debe tener en cuenta cada uno de
los activos de información que lo componen, posterior a ello analizar el
nivel de vulnerabilidad de cada uno, con el fin de identificar y evaluar las
posibles amenazas del impacto que causaría un ataque contra el sistema.
“El eslabón más débil de la cadena es el usuario final”

Video Informativo. Observa el video Riesgos en ciberseguridad 2020,

donde conocerás sobre los tres grandes riegos en ciberseguridad según la
lista de Gaptain.
 Seguridad de la Información 22

9 Anexo. Lineamientos Jurídicos y Técnicos

Durante el proceso de gestión de riesgos de seguridad digital, es importante
conocer y entender los siguientes estándares, leyes y metodologías.
• CONPES 3701
Lineamientos de política para la Ciberseguridad y Ciberdefensa
Lineamientos de política en ciberseguridad y ciberdefensa orientados
a desarrollar una estrategia nacional que contrarreste el incremento
de las amenazas informáticas que afectan significativamente al país.
Adicionalmente, recoge los antecedentes nacionales e internacionales, así
como la normatividad del país en torno al tema.
• CONPES 3854
Política Nacional de Seguridad digital
Establecer un marco institucional claro en torno a la seguridad digital. Se
crean las condiciones para que las múltiples partes interesadas gestionen
el riesgo de seguridad digital en sus actividades socioeconómicas y se
genere confianza en el uso del entorno digital, mediante mecanismos de
participación y permanente, la adecuación del marco legal y regulatorio
de la materia, y la capacitación para comportamientos responsables en el
entorno digital. Fortalecer la defensa y seguridad nacional en el entorno
digital, a nivel nacional y trasnacional, con un enfoque de gestión de riesgos.
Finalmente, generar mecanismos permanentes para impulsar la cooperación,
colaboración y asistencia en materia de seguridad digital, a nivel nacional e
internacional, con un enfoque estratégico.
• ISO/IEC 27001:2013
Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de
seguridad de la información. Requisitos
Especifica los requisitos para establecer, implantar, mantener y seguir
mejorando los Sistemas de Gestión de Seguridad de la Información (SGSI)
en el contexto de las organizaciones.
 Seguridad de la Información 23

• ISO 31000:2018
Gestión del riesgo. Directrices
Proporciona directrices para gestionar el riesgo al que se enfrentan las
organizaciones. La aplicación de estas directrices puede adaptarse a
cualquier organización y a su contexto.
• Ley 158 1 de 2012
Desarrollar el derecho constitucional que tienen todas las personas a
conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bases de datos o archivos, y los demás derechos, libertades y
garantías constitucionales a que se refiere el artículo 15 de la Constitución
Política; así como el derecho a la información consagrado en el artículo 20
de la misma.
• Magerit v3
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
Implementa el Proceso de Gestión de Riesgos dentro de un marco de
trabajo para que los órganos de gobierno tomen decisiones teniendo en
cuenta los riesgos derivados del uso de tecnologías de la información.
 Seguridad de la Información 24

10 Referencias
• Cano, J. (abril de 2018). “Repensando los fundamentos de la gestión de
riesgos. Una propuesta conceptual desde la incertidumbre y la complejidad”
en Revista Ibérica de Tecnología y Sistemas de la Información. (15) 76–87.
• Cárdenas, F (01 Septiembre 2018) ISO 27001 | Gestión Integral de la
Seguridad de la Información | SGSI [Pagina Web]. www.novasec.co/blog/62-
gestion-integral-de-la-seguridad-de-la-informacion
• Ciberamenazamapa en tiempo real, 2020. Recuperado el 21/09/2020 de
https://cybermap.kaspersky.com/es
• Departamento Nacional de Planeación. (2011). Conpes 3701. Lineamientos
de Política para Ciberseguridad y Ciberdefensa. Recuperado el 21/09/2020 de
https://www.mintic.gov.co/portal/604/articles-3510_documento.pdf
• Departamento Nacional de Planeación. (2016). Conpes 3854. Política
Nacional de Seguridad Digital. Recuperado el 21 de septiembre de 2020 de
http://hdl.handle.net/11520/14856
• Gaptain. Educación y Seguridad Digital. (12 de diciembre de 2019).
RIESGOS en ciberseguridad para 2020 [Video]. Youtube.https://www.
youtube.com/watch?v=1OLxqEBkoN0&ab_channel=Gaptain.
Educaci%C3%B3nySeguridadDigital
• Innovación, calidad y personalización. (15 marzo 2017). Definición de la
Seguridad de la Información y sus Tres Pilares. [Video]. YouTube. ttps://www.
youtube.com/watch?v=hocir2GQWnY&ab_channel=CEC-IAEN
• Internacional Organization for Standardization. (2013). ISO/IEC 27001:2013
– Tecnología de la informacion. Técnica de seguridad. Sistemas de Gestión de
la Seguridad de la información (SGSI) Requisitos. http:// webstore.iec.ch/
publication/11286
• Instituto de Auditores Internos de España. (2016). Ciberseguridad
una guía de Supervisión. Recuperado el 21 de septiembre de 2020 de
https://auditoresinternos.es/uploads/media_items/guia-supervision-
ciberseguridad-fabrica-pensamiento-iai.original.pdf
 Seguridad de la Información 25

Material complementario
• Areitio, J. (2014). Seguridad de la Información, Redes, Informática y sistemas de
Información. Editorial Paraninfo.
• Ministerio de Tecnologías de la Información y Comunicaciones. (s. f.). Modelo
nacional de gestión de riesgos de seguridad digital. Recuperado el 21/09/2020
de https://mintic.gov.co/portal/604/articles-61854_documento.docx
• Ministerio de Tecnologías de la Información y Comunicaciones. (2016). Guía
No. 7 Gestión de riesgos. Bogotá, Colombia. Recuperado el 21 de septiembre
de 2020 de https://bit.ly/2iAQkvd
• National Institute of Standards and Technology. (2011). Managing
Information Security Risk. Organization, Mission, and Information System
View. Recuperado el 25 de enero de 2020 de https://nvlpubs.nist.gov/
nistpubs/Legacy/SP/nistspecialpublication800-39.pdf
• Piattini, M. y Fernández, C. (2014). Modelo para el gobierno de las TIC basado
en las normas ISO. Aenor Ediciones. https://www.compromisorse.com/
upload/noticias/008/8829/libro.PDF
• Refsdal, A., Solhaug, B. y Stolen, K. (2015). Cyber Risk Management.
Heidelberg: Springer.