En un primer momento se hace necesario tomar conciencia de que en

contraste con una educación tradicional el uso de la TI en las tareas del ser
humano da más ventajas que desventajas y esto parte de la formación donde
se pueda comprender que el hecho de tener todo al alcance de la mano
facilita la vida, da más oportunidades de formación e información, ofrece una
serie de condiciones para el aprendizaje desde el diálogo de culturas, la
libertad y autonomía; pero también exige ser más críticos, organizados y
cuidadosos con la información manejada en el amplio mundo empresarial y
organizacional.

En consecuencia, cabe recordar que la información es un activo que como

otros activos importantes tiene valor y requiere una protección adecuada en
toda organización. Por tanto, cada ente debe comprometerse a custodiar en
grado elevado la información que le fue confiada y no tanto por sus sistemas
informáticos en sí, sino por la cantidad de datos que estos contienen, sin
importar la índole, digitalizada o numerada.

Para el mundo empresarial, los usuarios deben ser prioridad, por eso deben
brindarles confianza y seguridad en todo el proceso en el que los mismos
entregan su información personal, comercial y/o puramente técnica o
procedimental. Igualmente, no se trata de una seguridad informática
castamente técnica sino con amplios alcances jurídicos, es un derecho que
tiene todo usuario y una responsabilidad de toda organización legalmente
constituida. Dicho de otra manera, las organizaciones tienen la obligación de
tener “salvaguardas” tomar medidas de control que permitan proteger cuando
cualquier tipo de amenaza se haga presente.

Lo anterior debe tener como objetivo prevenir riesgos continuos que afectan
la confiabilidad y el uso indebido de los sistemas informáticos, minimizan
daños y garantizan la continuidad de cualquier negocio.

Por otro lado, si una empresa quiere ser competitiva en la actualidad debe
contar con sistemas y plataformas súper ágiles y seguras y esto conlleva un
cambio en el proceso de transformación digital, que a su vez permite que
otros utilicen las mismas herramientas para hacer daño a otras
organizaciones a través de los ciberataques y malware; por tanto, la
actualización en este campo debe ser constante. Entre los actores que
amenazan la seguridad, entre los principales tenemos: los Hackers, es la
persona que se dedica a investigar y conocer todo lo relacionado con las
cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de
información, aunque capaz de diseñar y fabricar programas de guerra y
hardware para reventar software y comunicaciones como el teléfono, el
correo electrónico o el control de otros computadores de forma remota. Los
Copyhacker: estas personas se dedican falsificar y crackear hardware,
específicamente en el sector de tarjetas inteligentes y los Phreak:
caracterizados por poseer altos conocimientos en el área de telefonía
terrestre y móvil, incluso más que los propios técnicos de las compañías
telefónicas.

Hay que mencionar además, que para que el sistema de una organización
se catalogue como seguro debe cumplir unas condiciones: ser íntegro y
confidencial, es decir, que a ella solo tengan acceso personas autorizadas y
responsables. Irrefutable, que las acciones que se realicen no se puedan
negar y disponible, que perdure en el tiempo y darse desde tres categorías:
seguridad en las aplicaciones, seguridad del sistema operativo y seguridad
de la red (Torre, 2017).

Algunas de las medidas recomendadas por especialistas para evitar los

ciberataques son:

Externalizar servicios: al no tener tantos activos disminuye el riesgo de

ataques. Contar con un buen antivirus que nos garantice protección.
Capacitación de los usuarios: formar a los usuarios de los sistemas de
seguridad informática en materia de ciberseguridad. Mantener
actualizado el software. Prestar atención a las contraseñas. Realizar
 auditorías de software. Posibilidad de contratar un ciberseguro.
(Interecononomía.com, 2017)

Cabe recordar las sugerencias dadas en el año anterior por el Ministerio de

Tecnologías de la Información y las Comunicaciones (MinTic) debido
ciberataque con 'ransomware', que afectó la a seguridad informática de miles
de compañías alrededor del mundo.

Para las entidades o empresas que tengan equipos con sus sistemas
operativos sin actualizar lo mejor es desconectarlos de Internet. Evite
abrir correos electrónicos con archivos adjuntos sospechosos que
aparentemente alerten sobre cobros jurídicos, demandas o similares..
Si recibe un mensaje de alguna entidad bancaria o ente
gubernamental, verifique que el dominio o enlace de la página web
que se encuentre en el mensaje realmente sea el que represente
oficialmente a la entidad o persona que se referencie. Nunca comparta
información personal ni financiera solicitada a través de correos
electrónicos, llamadas telefónicas, mensajes de texto o redes sociales.
No abra mensajes ni archivos adjuntos de remitentes desconocidos.
Tenga cuidado con los sitios web que visite, desconfíe de los dominios
que no conozca. No descargue software de sitios no confiables. No
descargue contenido multimedia por redes de intercambio tales como
ares. Evite conectar dispositivos extraíbles que no sean confiables.
(Tiempo, 2017)

Más aún, conociendo lo anterior anualmente en las organizaciones se

presentan infinidad de ataques en cuestión de ciberseguridad, posiblemente
por la poca inversión que se le da al tema de la seguridad informática y la
poca toma de conciencia frente a los daños que estos pueden ocasionar.

A causa de todo lo anterior, algunas organizaciones internacionales

propusieron algunas normas para la seguridad de la información, entre ellas
Normas ISO 27001:2013 Y 27002:201 Sistemas de Gestión y Seguridad de
la Información.

Norma ISO 27001:2013, publicada en el 2005, específica los requisitos para

un Sistema de Gestión y Seguridad de la Información. Las normas que le
anteceden, contenían un conjunto de controles, para implementar en las
organizaciones y proteger la información. Pero surge la ISO 27001, teniendo
en cuenta los retos a los que se enfrenta cada día una organización y donde
las mismas buscan ser más productivas, eficaces y eficientes, posibilitando
posicionarse en los primero lugares a nivel empresarial, satisfaciendo las
expectativas de sus clientes; llevando todo esto, a que se dé prioridad a la
custodia de toda información. Así mismo, cada vez es mayor la cantidad de
información que se maneja en medio electrónico y los riesgos por tanto
también, además de ser complejos.

Ahora bien, es importante resaltar la diferencia entre seguridad de la

información y seguridad informática, de esta manera se puede observar el
impacto que tiene un SGSI en una organización; la primera, es todo aspecto
relacionado con información o datos contenidos en cualquier medio y la
segunda, es toda la información contenida unicamente en el mundo digital.

Las organizaciones guardan la información en diversos medios, formas y

formatos: datos, videos y voz, el reto está en que sin importar como esté la
misma, se garantice su seguridad. Por otro lado, es importante retomar la
importancia que tienen los activos para una organización, llámese a esto
“Información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos
humano” ( Ministerio de Hacienda y Administraciones públicas, 2012) y esto
es lo que da relevancia al concepto de Seguridad de la Información
“Confianza en que los sistemas de información están libres y exentos de todo
peligro o daño inaceptables” ( Ministerio de Hacienda y Administraciones
públicas, 2012) para galardonar de que este aspecto se cumple, cada
organización debe garantizar la condidecialidad, la integridad y disponibilidad
de la información.

Norma ISO 27002:2013, es una guía en la era de la ciberseguridad, nueva

versión de la norma, contiene el código de buenas prácticas para la gestión
de la seguridad, se puede encontrar recomendaciones para asegurar los
sistemas de información de una organización, describe los controles
recomendables para implementar. Su objetivo es servir como punto de
información de las demás normas ISO 27000.

Para finalizar, los TI (Tecnología de Sistemas) no necesariamente deben ser

los encargados de los SGSI, debe haber un equipo con liderazgo e interés
importante en la organización, puede ser alguna área que cumpla con éste
requisito, dejando claro que el área de TI debe interactuar constantemente
con el proyecto.

En conclusión.

El impacto del Cybercrime es global, afecta a todo mundo, no únicamente a

las organizaciones legalmente constituidas.

El SGSI es un conjunto de procesos organizados que permiten que la

seguridad de la información crezca y se disminuyan los riesgos en la
organización.

Los beneficios de un SGSI son: Ayuda proteger la información, brinda

confidencialidad, integridad y disponibilidad. Permite hacer seguimiento y
control. Es una guía para avanzar en cuestión de seguridad. Obliga a pensar
en gestión de riesgos.

El SGSI, requiere inversión y búsqueda de estrategias.

Una organización con SGSI puede prevenir los ataques informáticos, más
no se puede decir que nunca vaya a sufrir uno, pero si se hará menos
vulnerable ante una amenaza.
La norma ISO 27001, es una norma global, integral y se relaciona bien con
otras normas. No cómo sebe implementar, sino que debe hacer cada
organización, dependiendo de sus prioridades. Por eso es flexible.

La norma ISO 27002, establece las directrices y principios generales para la

implementación, el mantenimiento y la mejora del sistema.