Bienvenidos a esta Guía de Liderazgo en ISO 27001. Comparte este articulo y síguenos para recibir más guías y cursos.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
5.1 Liderazgo, compromiso y gestión empresarial.
Liderazgo, compromiso y gestión empresarial en la seguridad de la información
Para que un plan de Seguridad de la Información cumpla con los requisitos de la norma ISO 27001, es fundamental contar con la participación activa y el compromiso de la alta dirección de la organización. No basta con que la dirección se presente ocasionalmente en una reunión de revisión; su implicación debe ser constante y estratégica para evitar los errores y deficiencias que muchas empresas han experimentado debido a la falta de liderazgo en este ámbito.
El propósito de involucrar a la alta gerencia en el sistema de gestión de seguridad de la información es garantizar que la gobernanza empresarial esté alineada con un enfoque sólido de seguridad. Esto significa que la dirección no solo debe apoyar el proceso, sino también liderarlo activamente.
¿Qué implica el liderazgo en la seguridad de la información?
El liderazgo en seguridad de la información significa que la alta dirección debe asumir la responsabilidad de definir expectativas claras respecto a la protección de la información, establecer la postura de riesgo de la organización y fijar objetivos estratégicos alineados con la seguridad de los datos.
Para lograrlo, la dirección debe:
- Determinar qué riesgos son aceptables y cuáles no.
- Definir objetivos de seguridad en coherencia con la estrategia y metas empresariales.
- Crear una cultura organizacional donde la seguridad sea una prioridad en todos los niveles.
Cómo poner en práctica el liderazgo en la seguridad de la información
Un sistema de gestión de seguridad de la información (SGSI) solo será eficaz si toda la organización está comprometida con su implementación. Aunque la seguridad es una responsabilidad compartida, la experiencia demuestra que el éxito de un plan de seguridad depende en gran medida de un liderazgo efectivo por parte de la alta gerencia.
Para consolidar esta cultura de seguridad, el liderazgo debe:
- Involucrar a todos los empleados: La seguridad de la información no es solo tarea del departamento de TI. Cada trabajador debe ser consciente de su rol en la protección de los datos.
- Defender la importancia de la seguridad: Esto se traduce en un liderazgo ejemplar que refleje compromiso y ética en cada acción.
- Implementar políticas claras: Una política bien diseñada, respaldada por una dirección firme, facilita la gestión de la seguridad.
- Adoptar un enfoque basado en riesgos: Es esencial que todos comprendan la importancia de evaluar y mitigar riesgos de manera estructurada y continua.
Integrando la seguridad en la cultura organizacional
El objetivo final de una gestión de seguridad de la información efectiva es lograr que la seguridad se arraigue en la cultura de la empresa. Para ello, la alta dirección debe:
- Asegurar que se destinan los recursos necesarios para el SGSI.
- Comunicar adecuadamente la importancia de la seguridad en todos los niveles de la organización.
- Establecer objetivos claros basados en políticas y análisis de riesgos.
La importancia de la revisión y mejora continua
El liderazgo en seguridad de la información no solo implica planificación e implementación, sino también monitoreo y mejora continua. La dirección debe revisar periódicamente el SGSI para evaluar su eficacia, detectar oportunidades de mejora y realizar los ajustes necesarios.
Según la norma ISO 27001:
«Los resultados de la revisión de la gestión deben incluir decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de seguridad de la información.»
Esto implica no solo ajustar estrategias, sino también garantizar que los recursos y la capacitación necesarios estén siempre disponibles para fortalecer el sistema de seguridad.
Resumen: el papel clave de la alta dirección
En conclusión, la alta dirección juega un rol crucial en la implantación y mantenimiento del SGSI. Su liderazgo debe reflejarse en:
- La definición e integración de políticas y objetivos de seguridad dentro de los procesos organizacionales.
- La asignación de recursos adecuados para cumplir los objetivos de seguridad.
- La concienciación y motivación del personal para fomentar una cultura de seguridad sólida.
El liderazgo efectivo en la seguridad de la información no es solo una cuestión técnica, sino un compromiso estratégico que garantiza la protección de los activos de información y la continuidad del negocio.
Implementando una estrategia de seguridad en la organización
El desarrollo de una estrategia de seguridad eficaz debe centrarse en los procesos críticos de la organización y en el cumplimiento de los requisitos legales y normativos. Sin embargo, es un error común pensar que la seguridad solo afecta a los sistemas de TI y a quienes los administran. En realidad, cualquier área de la empresa que maneje información relevante, como el departamento de compras, que gestiona proveedores estratégicos, o el área de marketing, que accede a datos de ventas y clientes, debe ser considerada dentro de los riesgos de seguridad de la información.
Para mitigar estos riesgos, se pueden establecer soluciones como sistemas de seguridad adaptados a las necesidades específicas de cada departamento o la implementación de middleware, que actúa como un control para definir los niveles de acceso a la información. De esta manera, por ejemplo, los ejecutivos de marketing solo podrían acceder a la información estrictamente necesaria para su función, reduciendo la cantidad de datos confidenciales almacenados en sus dispositivos personales.
Más allá de la tecnología: el liderazgo en la seguridad
Si bien las soluciones tecnológicas son una parte clave de cualquier estrategia de seguridad, no son suficientes por sí solas. La verdadera seguridad se logra a través de una combinación de tecnología, liderazgo y cultura organizacional. Un liderazgo bien estructurado ayuda a definir responsabilidades claras para cada empleado, garantizando que cada persona pueda desempeñar su labor de manera segura.
Este proceso no ocurre de la noche a la mañana, sino que requiere la implementación de políticas claras, planes de concienciación y la influencia del ejemplo de los directivos. Cuando los líderes demuestran un compromiso genuino con la seguridad, los empleados tienden a adoptar prácticas más seguras en su rutina diaria, lo que reduce significativamente los riesgos operativos.
El dilema entre seguridad y operatividad
Uno de los principales desafíos al implementar estrategias de seguridad es encontrar un equilibrio entre las necesidades operativas de la organización y las medidas de protección. En muchos casos, las prácticas de seguridad pueden entrar en conflicto con las necesidades diarias de los usuarios, generando fricciones y posibles obstáculos para la productividad.
Por ejemplo, medidas como el uso de cortafuegos perimetrales, autenticación de puertos, administración de configuración centralizada y sistemas de autenticación pueden ser fundamentales para proteger la información. Sin embargo, si estas soluciones no se implementan con flexibilidad, pueden volverse un obstáculo para los empleados que necesitan compartir datos, acceder a sistemas de manera remota o trabajar con redes de alta velocidad.
Cuando esto ocurre, es necesario tomar decisiones de compromiso que equilibren la seguridad y la usabilidad, garantizando que los usuarios finales puedan operar con eficiencia sin comprometer la protección de los datos.
Caso práctico: el reto de gestionar una red con múltiples usuarios
Imaginemos una organización con una infraestructura de red compleja, donde coexisten distintos tipos de usuarios: empleados temporales, nuevos trabajadores que traen sus propios dispositivos, colaboradores que comparten grandes volúmenes de datos, y empleados que requieren acceso remoto debido a viajes o teletrabajo.
En este escenario, una estrategia de seguridad rígida podría generar problemas. Por ejemplo, el uso intensivo de cortafuegos para proteger sistemas críticos puede ser efectivo en ciertos entornos, pero podría volverse un obstáculo en zonas perimetrales donde se necesita flexibilidad para accesos temporales o redes de alta velocidad.
Del mismo modo, la administración centralizada puede ser una solución ideal para gestionar configuraciones en algunos casos, pero en otros podría ser ineficiente si afecta la usabilidad de aplicaciones o sistemas individuales. Esto demuestra que no existen recetas únicas para la seguridad; cada organización debe adaptar sus estrategias en función de sus necesidades operativas y su infraestructura tecnológica.
Conclusión: tomar decisiones estratégicas en seguridad
En última instancia, la gerencia debe adoptar una estrategia de seguridad inteligente y bien fundamentada, tomando decisiones acertadas sobre dónde y cómo asignar los recursos disponibles para proteger la información. La clave no está en aplicar controles de seguridad de manera indiscriminada, sino en integrarlos de forma efectiva dentro de las operaciones diarias para que sean útiles, funcionales y realmente contribuyan a la protección de los activos de la organización.
5.2 Política
Estableciendo una Política de Seguridad de la Información
La base de un sistema de gestión de seguridad de la información (SGSI) conforme a la norma ISO 27001 es una política clara y bien definida. Esta política no solo establece los principios rectores para la seguridad de la información dentro de la organización, sino que también refleja el compromiso de la alta dirección con la protección de los activos digitales y físicos.
Algunos métodos de comunicación interna de la Política de Seguridad de la Información pueden ser los siguientes:
- Inducción y entrenamiento mediante charlas
- Envío por correo electrónico
- Entrega de manera personal
- Publicación en tablones de anuncios (Declaración de Política de Seguridad de la Información)
- Publicación en la Intranet corporativa
No obstante, estos métodos pueden usarse de manera individual o de forma combinada como parte de un Programa permanente de Sensibilización en Seguridad de la Información y se debe asegurar que los colaboradores comprendan y entiendan la Política de Seguridad de la Información; estos resultados pueden medirse mediante la realización de evaluaciones periódicas y así generar registros con los resultados obtenidos y determinar mejoras.
Una política de seguridad efectiva debe:
- Definir los objetivos y metas en términos de confidencialidad, integridad y disponibilidad de la información.
- Demostrar el apoyo incondicional de la alta dirección en la implementación y mantenimiento del SGSI.
- Especificar el alcance del sistema de seguridad y su impacto en la continuidad del negocio.
- Delimitar las responsabilidades de los empleados en el manejo de información confidencial.
- Establecer normas sobre el uso adecuado de los recursos tecnológicos de la empresa, como el correo electrónico, redes corporativas y dispositivos de almacenamiento.
Además, la política debe alinearse con las regulaciones legales y contractuales aplicables, incluyendo normativas sobre derechos de autor, protección de datos y prevención del uso indebido de los sistemas informáticos. También es recomendable que haga referencia a otros documentos complementarios, como procedimientos específicos de seguridad o regulaciones propias del sector en el que opera la empresa.
Partes Interesadas
Necesidades Internas
Identifique las necesidades internas
| LISTADO NECESIDADES INTERNAS | |
| DIRECCIÓN | |
| ACCIONISTAS | |
| EMPLEADOS | |
Necesidades Externas
Identifique las necesidades externas
| LISTADO NECESIDADES EXTERNAS | |
| REQUISITOS 27001 | |
| NORMATIVIDAD / LEGISLACIÓN | |
| FUERZAS DE MERCADO | |
Relación de Necesidades
Establezca el grado de relación que tienen cada una de ellas valorándola en una escala de 1 a 5 (siendo 5 el mayor valor), luego haga sumatorias y los valores más representativos corresponden a directrices o frases que deberían componer la Política.
| Necesidades | REQUISITOS 27001 | NORMATIVIDAD / LEGISLACIÓN | FUERZAS DE MERCADO |
| DIRECCIÓN | |||
| ACCIONISTAS | |||
| EMPLEADOS | |||
| OTRAS DIRECTRICES | |||
Revisión Estrategia
Luego revise visión, misión y otras directrices y determine si hay alguna directriz referente a Seguridad de la información que no ha sido tomada en cuenta, con el fin de incluirla en la política.
Redacción Política
Recomendaciones para la redacción de una política de seguridad de la información
- En los casos que aplique se hace referencia de la regulación mediante la cual se soporta la política
- Datos de las personas o roles de la entidad que pueden brindar información sobre la política
- Nombre, rol o responsable de quien autoriza la política
- Describir los pasos y procedimientos para realizar ajustes a la política
- Explicación de las consecuencias que se pueden tener en caso de que un funcionario, contratista o tercero incumpla la política
- Fecha que inicia la vigencia de la política
Redacción clara y accesible
Uno de los errores más comunes al redactar políticas de seguridad es el uso excesivo de terminología técnica, lo que dificulta su comprensión por parte de empleados que no tienen formación en seguridad informática. La política debe estar escrita en un lenguaje claro y accesible para todos los niveles de la organización, asegurando que cada miembro del equipo comprenda sus responsabilidades y las mejores prácticas a seguir.
Aprobación, comunicación y sensibilización
Para que la política tenga la relevancia necesaria dentro de la organización, debe ser aprobada y firmada por la máxima autoridad, como el CEO o un directivo con el nivel de responsabilidad adecuado. Esta firma no solo otorga legitimidad al documento, sino que también deja en claro que el liderazgo respalda activamente la seguridad de la información.
La comunicación de la política es otro aspecto clave. No basta con redactarla y archivarla en un documento olvidado; debe ser difundida a todos los empleados y partes interesadas mediante distintos canales, ya sea en formato impreso, digital o a través de capacitaciones periódicas.
Es fundamental que todos los empleados lean la política y comprendan su contenido, ya que esta define sus responsabilidades específicas en relación con la seguridad de la información. Para reforzar este conocimiento, se recomienda realizar sesiones de concienciación periódicas y evaluaciones para verificar su comprensión.
Revisión y actualización de la política
El entorno de la seguridad de la información está en constante evolución, con nuevas amenazas emergiendo regularmente y cambios en la estructura organizativa que pueden afectar la estrategia de seguridad. Por esta razón, la política debe revisarse y actualizarse cuando sea necesario para reflejar estos cambios y garantizar su vigencia.
Aunque la política de seguridad es un documento de alto nivel que no suele modificarse con frecuencia, sí debe formar parte del proceso de revisión y mejora continua del SGSI. En cambio, los documentos que la complementan, como procedimientos operativos y controles específicos, pueden ser actualizados con mayor frecuencia según lo requieran las circunstancias.
En conclusión, una política de seguridad bien definida, comunicada y respaldada por la dirección es el primer paso para una gestión eficaz de la seguridad de la información. Sin este fundamento, cualquier esfuerzo posterior en controles técnicos o procedimientos será insuficiente para garantizar la protección de los activos de información de la organización.
POLÍTICAS ESPECÍFICAS
| POLÍTICAS | CLÁUSULA |
| Uso aceptable de la información y otros activos asociados | 5.10 |
| Clasificación de la Información | 5.12 |
| Transferencia de información | 5.14 |
| Control de acceso | 5.15 |
| Derechos de acceso | 5.18 |
| Seguridad de la información en las relaciones con proveedores | 5.19 |
| Seguridad de la información para el uso de servicios en la nube | 5.23 |
| Derechos de propiedad intelectual | 5.32 |
| Protección de registros | 5.33 |
| Privacidad y protección de la PII | 5.34 |
| Trabajo Remoto | 6.7 |
| Escritorio y Pantalla limpias | 7.7 |
| Medios de almacenamiento | 7.10 |
| Dispositivos de usuario final | 8.1 |
| Derechos de acceso privilegiado | 8.2 |
| Restricción de acceso a la información | 8.3 |
| Autentificación Segura | 8.5 |
| POLÍTICAS | CLÁUSULA |
| Gestión de vulnerabilidades técnicas | 8.8 |
| Eliminación de información | 8.10 |
| Enmascaramiento de datos | 8.11 |
| Respaldo de información | 8.13 |
| Inicio de sesión | 8.15 |
| Segregación de redes | 8.22 |
| Uso de Criptografía | 8.24 |
5.3 Roles y responsabilidades
Roles y responsabilidades en la seguridad de la información
Como se ha mencionado anteriormente, la seguridad de la información no es solo un asunto técnico, sino un compromiso estratégico que debe estar alineado con las necesidades operativas de la organización. La alta dirección debe garantizar que este compromiso se traduzca en una gestión coordinada que integre tanto la seguridad como la eficiencia operativa.
Un aspecto clave para lograr esto es la asignación de responsabilidades específicas dentro de la organización, asegurando que cada persona tenga un rol definido en la protección de la información. Esto implica designar responsables para la ejecución de tareas críticas de seguridad y garantizar que cuenten con los recursos y la capacitación adecuados para desempeñar sus funciones.
Asignación de responsabilidades en la gestión de seguridad
Cada sistema de información debe contar con un propietario responsable de su seguridad y mantenimiento. Aunque esta persona puede delegar la implementación diaria en un equipo técnico o en un proveedor de servicios externo, la responsabilidad última sigue recayendo en ella. Este enfoque garantiza que siempre haya una figura encargada de supervisar el cumplimiento de las políticas y estándares de seguridad.
Principales roles en la seguridad de la información
En una organización bien estructurada, diferentes profesionales asumen funciones clave para proteger la infraestructura, los datos y los sistemas de información. Algunos de los roles más comunes incluyen:
- Director de Seguridad de la Información (CISO): Responsable de liderar la estrategia de seguridad, coordinar equipos y garantizar que la organización cumpla con los estándares y normativas de seguridad.
- Consultor o especialista en seguridad: Encargado de proteger sistemas, redes y software contra amenazas como virus, malware, accesos no autorizados o ataques de denegación de servicio.
- Analista de seguridad: Evalúa vulnerabilidades en la infraestructura, investiga contramedidas y propone soluciones para mitigar riesgos. Además, analiza daños causados por incidentes y prueba el cumplimiento de políticas de seguridad.
- Ingeniero de seguridad: Monitorea registros y datos, analiza eventos de seguridad y responde a incidentes para mejorar la capacidad de defensa de la organización.
- Arquitecto de seguridad: Diseña la estructura de los sistemas de seguridad, definiendo cómo deben integrarse los controles y protocolos de protección.
- Administrador de seguridad: Se encarga de instalar y gestionar sistemas de seguridad en toda la organización. En empresas más pequeñas, también puede asumir funciones de análisis y supervisión.
- Desarrollador de software de seguridad: Crea herramientas de protección como software antivirus, sistemas de detección de intrusos y soluciones de análisis de tráfico.
- Criptógrafo o criptólogo: Desarrolla algoritmos de cifrado para proteger la información y refuerza la seguridad de los sistemas mediante técnicas avanzadas de codificación.
- Analista criptográfico: Examina sistemas cifrados, evalúa la solidez de los métodos de protección y estudia posibles vulnerabilidades en la criptografía.
Responsabilidad del personal en la seguridad de la información
Más allá de los roles técnicos, todos los empleados tienen una responsabilidad general en la seguridad de la información. Cada persona dentro de la organización debe:
- Reportar comportamientos sospechosos o inusuales en el uso de sistemas informáticos o servicios de red.
- Mantener seguras sus credenciales de acceso, evitando compartir contraseñas o utilizar claves débiles.
- Cumplir con la política de uso aceptable de los recursos tecnológicos de la empresa, evitando prácticas que puedan comprometer la seguridad de la información.
Recursos y capacitación en seguridad de la información
Para garantizar que cada persona pueda desempeñar su función de manera efectiva, la organización debe contar con los recursos adecuados. Esto incluye tanto herramientas tecnológicas como formación especializada para el personal encargado de la seguridad.
Cuando se trata de funciones técnicas, es fundamental que los profesionales tengan el nivel de conocimiento necesario para enfrentar los desafíos del entorno digital actual. Esto implica no solo contratar a personas con la experiencia adecuada, sino también invertir en programas de capacitación que permitan a los empleados mantenerse actualizados ante la evolución constante de amenazas y tecnologías.
Evolución constante: un reto para la seguridad
La seguridad de la información es un campo en continuo cambio. Las amenazas evolucionan, las tecnologías se transforman y las regulaciones se actualizan. Por ello, la gerencia debe asegurarse de que los profesionales del área de seguridad tengan acceso a formación continua y estén preparados para afrontar nuevos retos.
En conclusión, definir roles y responsabilidades claras, proporcionar los recursos necesarios y fomentar una cultura de seguridad en toda la organización es clave para garantizar la protección efectiva de la información. Solo con una estrategia bien estructurada y el compromiso de toda la empresa se puede lograr un entorno seguro y resiliente frente a las amenazas digitales.
No te detengas, sigue avanzando
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?
Sobre la autora
Romina Orlando
Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.