Universidad del Norte. Castro Jimenez Eliseo Manuel, Villanueva De La Hoz Wilman Jesus.

El roll de la seguridad de
informacin para las empresas del futuro.

El roll de la seguridad de informacin para las

empresas del futuro
Castro Jimenez, Eliseo Manuel., Villanueva De La Hoz Wilman Jesus.
castroeliseo@hotmail.com, wilman_villanueva@hotmail.com
Universidad del Norte

ResumenGerenciar la Seguridad de la Informacin es

unos de los grandes retos que hoy da tienen, no solo los
Ingenieros de Sistemas en las empresas, sino la misma
organizacin; por lo tanto, debemos tener la claridad sobre el
roll y la importancia que debe cumplir la seguridad de la
informacin hacia el futuro de las compaas, dando el apoyo
al gerenciamiento efectivo, cumpliendo con las exigencias
legales y con los tres pilares ofrecida por la familia de la
ISO/IEC 27000, que es la confidencialidad, integridad y
disponibilidad de la informacin..
El reto es grande y en este artculo comentaremos
brevemente unos de los factores que puede apalancar el futuro
roll de la seguridad de la informacin para las organizaciones.

ndice de TrminosGerencia, Informacin, Empresa,

Seguridad de la informacin, Tecnologa de la informacin,
Futuro.

I. INTRODUCCIN
La evolucin de las tecnologas, la masificacin
y crecimiento del internet, el nacimiento y
propagacin de las redes sociales, el volumen de
informacin que se ha generado con el fin de poder
predecir las necesidades de las personas y la
movilidad ha obligado a las empresas cambiar
drsticamente sus estrategias para poder sobrevivir
en este entorno tecnolgico en que nos movemos.
Las organizaciones cada vez ms se apoyan en ella
para brindar productos/servicios que logren
satisfacer anticipadamente las necesidades propias
de sus clientes trasladando a un principio que los
modelos de seguridad tradicionales se encaminaran
a evolucionar al mismo ritmo con que evoluciona
las tecnologas, las personas y el entorno; pero con
la aparicin de estas tecnologas emergentes
incluyendo la computacin en la nube, la

percepcin del riesgo en una organizacin se hace

cada vez ms influyente.
Las Tecnologas de Informacin (TI), cuentan con
la capacidad y herramientas que permitan lograr
inculcar una cultura de seguridad de la informacin
a todos sus StakeHolders, aplicar medidas que
minimicen el riesgo en que la evolucin aforada de
las tecnologas pueda afectar al negocio en la
aplicacin de las estrategias organizacionales, la
tranquilidad a sus accionistas y/o clientes,
salvaguardar sus activos, y el cumplimiento de las
leyes o normas que les aplique.
Sin embargo en esta era de la globalizacin, la
informacin de las empresas y en estar
interconectados, ha identificado que su activo ms
valioso en toda la compaa es la informacin, por
ello sus esfuerzos se han enfocado optimizar sus
programas, robustecer sus polticas, optimizar los
procesos, en educar a las personas y contar con
mejores planes de seguridad de la informacin. De
igual forma el proceso de seguridad de la
informacin debe estar alineado con la agenda
estratgica del negocio en cuanto a la gestin de
riego de esta.
Los ya mencionados avances tecnolgicos han
creado un gran acceso a la informacin desde y
hacia las compaas ya sea de una forma consiente,
o por desconocimiento u accidental, todo esto en su
afn de mantener a las empresas competitivas. Sin
embargo, las empresas tienen que aprender a
gestionar los riesgos que nos proporciona estos
cambios del entorno tecnolgico de una manera
eficiente, eficaz y controlada ofreciendo la
tranquilidad a los interesados.

II. GESTIN DEL RIESGO COMO EJE

FUNDAMENTAL DE LA SEGURIDAD DE LA
Universidad del Norte-2014-II

Universidad del Norte. Castro Jimenez Eliseo Manuel, Villanueva De La Hoz Wilman Jesus. El roll de la seguridad de
informacin para las empresas del futuro.

INFORMACIN EN LAS EMPRESA DE

FUTURO
Dado que no existe tecnologa perfecta, ni
tampoco cien por ciento (100%) segura, el
crecimiento de las preocupaciones en seguridad de
la informacin ha creado un ambiente de negocios
caracterizado por cambios rpidos, amenazas
globales, mayor vulnerabilidad, requerimientos
legales o regulatorios. Dado que la mayora de los
procesos de negocio dependen de Tecnologa de
informacin (TI) y si esta tecnologa es operada por
personas, el riesgo aumenta, como respuesta a estos
riesgos de TI que afectan a la seguridad de la
informacin deben ser gestionados para minimizar
su impacto.
Ejemplos de estos riesgos son el caso de Comair,
una empresa subsidiaria de Delta Air Lines, resalta
algunas consecuencias de la materializacin del
riesgo de TI. En diciembre de 2004, Comair
experiment un incidente con su sistema de
planeacin de horarios para tripulaciones. Este
sistema, de misin crtica para la operacin del
negocio, dej de funcionar el 24 de diciembre y
caus una interrupcin total de sus vuelos, dejando
prdidas equivalentes a las utilidades operativas de
todo un trimestre [3]. Otro caso es el de
CardSystems Solutions Inc., procesadora de
tarjetas de crdito. A mediados del 2005 report que
individuos desconocidos obtuvieron acceso a las
transacciones de 40 millones de tarjetahabientes.
Visa y Mastercard, clientes de CardSystems,
cancelaron su negocio con la empresa, que luego
fue vendida [3].
De acuerdo a lo anterior las compaas estn
incluyendo dentro de sus procesos con el objeto de
mantener la continuidad de la operacin, un anlisis
de riesgo el cual deber estar basado en marcos de
referencia avalados y que a su vez generen
confianza a sus interesado y empresa auditoras; es
por esta razn, se hace necesario entender cmo se
enmarcan estos estndares y metodologas dentro
del gobierno de TI, el cual uno de sus objetivos es
garantizar estratgicamente que la seguridad de la
informacin sea gestionada eficientemente para
sostener y aumentar la ventaja estratgica de la
compaa en el presente y futuro.
Universidad del Norte-2014-II

Este inters est fundamentado en el roll cada vez

ms protagnico de la seguridad de la informacin
que se fundamenta en una gestin de riesgos, y de
esta forma mantener una disponibilidad, integridad
y confidencialidad de la informacin, brindando
apoyo a sus procesos, la correcta tomas de
decisiones en la organizacin es decir, generar valor
y no ser considerada esta como un gasto
administrativo. En la mayora de las organizaciones,
la gestin del riesgo en la seguridad de la
informacin y la creacin de valor son vistas como
opuestas, cuando en realidad son inseparables. Cada
decisin, actividad e iniciativa que tiene como
objetivo crear o proteger este activo, implica valor
y cierto grado de riesgo; por lo tanto, el reto esta
que la seguridad de la informacin en las empresas
del futuro es integrar los procedimientos adecuados
de gestin de riesgos en todas las actividades de
negocio de una empresa. Para ellos se puede
implementar la estrategia de seguridad integrada y
trasversal, que no solo involucre al rea de Ti si no
la compaa en general, su enfoque sea predictivo y
donde la proteccin sea de manera proactiva.
Este nuevo enfoque de seguridad integrado tiene
5 dimensiones las cuales aclaran mejor cual es le
roll de la seguridad de la informacin en un futuro
cercano:
A. Identificar los riesgos reales
A menudo los especialista de seguridad de las
organizaciones se dedican mucho tiempo a resolver
problemas de la operacin de las organizaciones,
olvidndose realmente que da a da aparecen
nuevas amenazas de las cuales deben ser
gestionadas y tratadas para reducir los riesgo de
exposicin en esas vulnerabilidades. Entre las
amenazas ms relevantes tenemos: Amenazas
internas, computacin en la nube, dispositivos
mviles, ciber ataques, redes sociales, entre otros.
Para tratar estos riesgos hgase estas preguntas
[1]:
Cul es la cultura de riesgo de su
organizacin?
Ha detectado y monitoreado amenazas
dentro y fuera de la organizacin?
Ha anticipado nuevos riesgos de tecnologa,

Universidad del Norte. Castro Jimenez Eliseo Manuel, Villanueva De La Hoz Wilman Jesus. El roll de la seguridad de
informacin para las empresas del futuro.

como dispositivos mviles, redes sociales y

computacin en nube?
B. Proteger la informacin lo ms importante
Dado que la seguridad 100% no existe, se debe
crear estrategias enfocadas a minimizar la
inseguridad de la informacin sensible o relevante
de la organizacin, esto se puede gestionar a travs
de proceso de detectar y monitorear informacin,
otra es el uso de herramienta de prevencin de
perdida de datos la cual evita que personas con
acceso a informacin privilegiada la copien y por
ultimo optimizar los controles existentes.
Importante evaluar esto riesgos con las siguientes
preguntas [1]:
Ha considerado la posibilidad de
automatizar los controles de seguridad?
Sus equipos de seguridad utilizan
indicadores predictivos para analizar las
actividades de la red aparentemente
normales?
Sus recursos estn enfocados en las
amenazas emergentes?
C. Optimizar para el desempeo del negocio
La mayor parte del esfuerzo en las compaa se
enfocan en la operacin y se olvidan que para
mantenerse slidas en un estado altamente
competitivo, requieren en mantener atentas a las
amenazas emergentes sin que esto signifique el
dejar de lado la funciones de conservar una
infraestructura actualizada, que garanticen la
ejecucin de los controles bsicos a nivel de
seguridad, as como tambin en invertir ms en la
gente y el mejoramiento de los procesos.
Importante evaluar esto riesgos con las siguientes
preguntas:
Est distribuyendo los gastos entre las
prioridades de riesgo clave?
Ha investigado la funcionalidad latente de
sus herramientas existentes?
Pretende subcontratar algn elemento de su
seguridad de la informacin?
D. Sustentar un programa empresarial
Las compaas de que gestionan la seguridad de
la informacin, cuentan con los comits que se
Universidad del Norte-2014-II

encargan de convertir la seguridad en una prioridad

a nivel de sus directivos, determinar que la
seguridad de la informacin est estratgicamente
alineada con la agenda de negocios general de la
organizacin y finalmente son quienes determina si
la tolerancia al riesgo amerita realizar inversin o
no teniendo en cuenta que al presentarse un
incidente, puede ser mayor el costo de remediacin
que la inversin inicial para establecer el control.
Importante evaluar esto riesgos con las siguientes
preguntas [1]:
Est tomando riesgos controlados en lugar
de eliminarlos por completo?
Sus indicadores clave son dbiles o fuertes?
La informacin es una prioridad a nivel del
consejo?
E. No Prohibir las cosas nueva aceptar el cambio
Dado que la tecnologa en un factor de
apalancamiento de los negocios, la seguridad de la
informacin no puede tomar un roll de prohibir las
nuevas tendencia o tecnologas emergentes, su
posicin ante estos avances tecnolgicos es el de
canalizar esta fuerza de cambio para implementar o
actualizar polticas de seguridad ms inteligentes,
permitiendo el uso de las nuevas tecnologas en vez
de restringirlas.
Importante evaluar esto riesgos con las siguientes
preguntas [1]:
Todas las partes interesadas de la compaa
entienden la importancia de la seguridad de
la informacin?
Su empresa est al tanto de las nuevas
tecnologas que estn presentes en la fuerza
de trabajo?
Su organizacin cuenta con las medidas
adecuadas para crear un ScoreCard de la
seguridad de la informacin a nivel de la
compaa?
III. CONCLUSIONES
La seguridad de la informacin es un tema que
desvela a muchas personas y empresas cuando
identifican el valor que tiene la informacin, cuando
se encuentran que existe un ambiente que lo est
dominando las nuevas tecnologas y que el futuro

Universidad del Norte. Castro Jimenez Eliseo Manuel, Villanueva De La Hoz Wilman Jesus. El roll de la seguridad de
informacin para las empresas del futuro.

no muy lejano, vamos a contar con ms amenazas a

nuestra seguridad a lo referente a la privacidad,
confidencialidad, integridad y disponibilidad. Por lo
tanto, el roll que debe cumplir la seguridad de la
informacin en las organizaciones debe ser fuerte,
prioritario, estratgico y visible; debe ser parte
dentro de la alineacin estratgica de la
organizacin, parte de su cultura organizacional, de
los objetivos y de la visin.
As como evolucionan las tecnologas, debemos
evolucionar nosotros y las organizaciones para
lograr con este deseado; las herramientas las hay,
existen los estudios e informacin que nos apoya
con esta conclusin, solo est por parte de nosotros
impulsar e incentivar ante la alta gerencia lo
mencionado
RECONOCIMIENTO
Queremos hacer el reconocimiento para aquellos
profesionales de la seguridad de la informacin que
dedican tiempo con un alto grado de compromiso
con el fin de generar una cultura de seguridad ante
la sociedad empresarial y social. Esta cultura
permitir de alguna forma obtener la tranquilidad de
proteccin de nuestros activos antes amenazas del
entorno y que son sujetos a la exposicin de
nuestras vulnerabilidades.
Por otro lado, agradecer a todos aquellos
escritores o profesores que le dedican tiempo a la
investigacin o en disear metodologas,
frameworks o estndares, transmitiendo sus
conocimientos por intermedio de informacin
escritas en libros, ensayos, artculos y medios
digitales y que alimenta nuestros conocimientos.

REFERENCIAS

[1] Seguridad de la informacin en mundo sin fronteras,

disponible
en:
http://www.ey.com/Publication/vwLUAssets/Seguridad_d
e_la_informacion_en_un_mundo_sin_fronteras/$FILE/Se
guridad_de_la_informacion_en_un_mundo_sin_fronteras.
pdf.
[2] CIO 2, El nuevo rol del director de TI, disponible en:
https://www.deloitte.com/assets/DcomPeru/Local%20Assets/Documents/pe_rol%20del%20direc
tor%20TI.pdf.

Universidad del Norte-2014-II

[3] Metodologa y gobierno de la gestin de riesgo de

tecnologa de la informacin, revista de ingeniera.
Universidad de los Andes. Bogot, Colombia. rev.ing.
ISSN. 0121-4993. Enero - Junio de 2010, pp. 109-118.
[4] Cano, J. (2011). La Gerencia de la Seguridad de la
Informacin: Evolucin y Retos Emergentes. ISACA
JOURNAL Vol 5. [en lnea]. Acceso a travs de: http:
//www.isaca.org/Journal/Past-Issues/2011/Volume5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-laInformacion-Evolucion-y-Retos-Emergentes.aspx.
[5] International Organization for Standarization Information technology - Security techniques Information security management system (2012).
ISO/IEC 27000.
[6] Blumsztein E. (2007). Implantacin del Sistema de
Gestin de Seguridad de la Informacin en una empresa
compleja (Spanish). Memoria De Trabajos De Difusin
Cientfica Y Tcnica. pp. 77-87.
[7] Ladino M. Villa P. y Lpez A. (2011). Fundamentos de
ISO 27001 y su aplicacin en las empresas. Scientia et
Technica. ISSN 0122-1701. Vol. 1. N. 47. pp. 334-339.