Mundo Financiero Seguro
Mundo Financiero Seguro
SGSI: Herramienta Clave para la prevención de riesgos
En este episodio exploramos cómo el Sistema de Gestión de Seguridad de la Información (SGSI) se convierte en una herramienta estratégica para prevenir riesgos y fortalecer la toma de decisiones en entornos complejos y altamente regulados. Descubre enfoques prácticos, normativa clave y experiencias reales para aplicar en tu gestión diaria.
Mundo Financiero Seguro, tu espacio para estar a la vanguardia en ciberseguridad, prevención de fraude, aml, fintech y gestión de riesgos. Descubre las últimas amenazas, innovaciones y herramientas clave para construir un futuro financiero más seguro. Únete a la conversación y transforma los desafíos en oportunidades. En la era digital, donde la información es uno de los activos más valiosos de las organizaciones, la seguridad ya no puede abordarse únicamente desde la perspectiva técnica o reactiva. Únicamente desde la perspectiva técnica o reactiva. El verdadero desafío está en anticipar, evaluar y gestionar los riesgos que pueden afectar la confidencialidad, la integridad y disponibilidad de los datos. ¿qué tal? Cómo están? Soy Juan José Ríos.
Speaker 1:Bienvenidos a Mundo Financiero Seguro, el podcast de PlusTip. En este podcast vamos a explorar juntos la seguridad de la información con un enfoque claro, estructurado y estratégico. La gestión de riesgos Vamos a ofrecerles un espacio de reflexión y aprendizaje donde se entrelazan la teoría, la normativa, la experiencia profesional, los retos reales que enfrentan las organizaciones de todos los tamaños y sectores, especialmente en entornos altamente regulados como el financiero. Haremos un gran aporte, con claridad, profundidad y valor aplicado para todos los profesionales de seguridad, personas responsables de cumplimiento, directores de tecnología, auditores, gerentes de riesgo y todos aquellos que necesitan tomar decisiones sólidas en un entorno digital complejo. Para esto me acompañan dos expertos Liliana Martínez, ingeniera de sistemas, experta en auditoría y sistemas de gestión, con más de 15 años de experiencia como docente y consultora internacional en normas ISO, y, por supuesto, jorge Diegues, gerente de Producto de Riesgo y Auditoría en Plus Team.
Speaker 1:Ambos gracias por acompañarnos. Vamos a comenzar abordando uno de los grandes cambios de paradigma que ha transformado la seguridad de la información en los últimos años, y es que ya no basta eso lo tenemos muy claro con poner controles. Ahora se trata de entender los riesgos desde la raíz. Así que comienzo contigo, jorge, si te parece, quiero preguntarte sobre ese contexto ¿Por qué el enfoque basado en riesgos es más efectivo que los enfoques tradicionales en seguridad de la información?
Speaker 2:Bueno, un saludo para todas las personas que nos escuchan. Un gusto tenerlos nuevamente en esta sesión. Lo que nosotros conocemos como el enfoque basado en riesgos se ha ido convirtiendo, de poco a poco, en un gran punto de apoyo para muchas entidades, que hace que la seguridad de la información se esté convirtiendo entonces en una herramienta estratégica y, además de eso, también en algo proactivo, principalmente porque protege lo que realmente importa y además también se logra realizar de forma proporcional y que queda alineada también con todos los alcances y los objetivos de negocio de cada una de nuestras entidades, ¿verdad? en ese orden de ideas. Además, debo decir también que se diferencia de otros enfoques comunes, o de otros enfoques, llamémosle tradicionales, que casi siempre ponen su visión en la parte del cumplir por cumplir.
Speaker 2:Entonces vamos a decir que el enfoque basado en riesgos es un modelo nuevo que permite a muchas entidades gestionar, justificar y hasta mejorar también la protección de la información, pero de manera continua, sin interrupciones, y todo esto se hace mucho más efectivo. ¿por qué? Pues, porque entonces se logra priorizar los esfuerzos de protección. Eso es un tema muy importante que queremos destacar también en esta parte. Todos estos esfuerzos se logran priorizar en conjunto del impacto real que un incidente de seguridad podría tener sobre lo que se está realizando, sobre los objetivos de negocio y su parte operativa que puede verse afectada sí o sí.
Speaker 2:En cambio, los enfoques tradicionales tienden a ser, como que, tal vez muy uniformes, muy reactivos o basados también únicamente en listas de controles comunes. Eso es lo que se utilizaba anteriormente, mientras que el nuevo enfoque basado en riesgos ahora es estratégico, es adaptable también y, sobre todo, está orientado para que sea funcional en la parte de la toma de decisiones, pero mejor informadas. Y en esta parte quisiera destacar tres puntos importantes o tres aspectos importantes de este enfoque. El primero es que se logra hacer, como estábamos diciendo hace un instante, una priorización mucho más inteligente. Esto es porque no todos los activos ni todas las amenazas que se logren identificar dentro de las empresas van a tener un mismo valor o un mismo nivel de criticidad para toda la empresa. Y se logra gracias a que el enfoque basado en riesgos nos permite entonces identificar qué es lo que se debe de proteger primero, cuánto podemos invertir en su protección y, sobre todo, qué controles podemos considerar como realmente necesarios.
Speaker 2:Además, así también se logra que hagamos esfuerzos que queden más orientados o de una forma más objetiva, debería decir yo, corrigiendo lo que dije hace un instante Y dicho sea paso, pues ayuda a esta parte, a optimizar recursos, que es un punto clave en estos casos de las empresas que pueden, en algunos escenarios, contar con presupuestos un poquito limitados. Ese sería el punto número uno. El segundo sería la parte de la reducción del riesgo residual, que es un elemento clave, el elemento clave en la gestión del riesgo. Como ya dijimos. También, si logramos identificar vulnerabilidades y amenazas específicas, entonces se pueden aplicar controles que queden diseñados para reducir el nivel de riesgo a unos valores un poquito más aceptables o que se encuentren dentro de nuestro margen de tolerancia al riesgo. Esto, sin duda alguna, pues, nos va a ayudar a generar una visión mucho más clara del riesgo residual para que pueda ser monitoreado y revisado regularmente.
Speaker 2:Así que uno de los principales aportes que hace esta parte del enfoque basado en riesgos, pues, es que no busca eliminar todos los riesgos Siempre se ha concebido que eso es prácticamente algo imposible sino gestionar los riesgos de forma proporcional y, sobre todo, consciente, llevando cada uno de estos riesgos a un nivel que consideremos como aceptable para cada una de nuestras empresas. Esta reducción se va a lograr siempre por medio de un proceso que debe quedar bien estructurado, que incluya también desde la identificación de los activos críticos de la información, que incluye la evaluación de las amenazas y de las vulnerabilidades importantes para esos activos, y debemos de tomar en cuenta también el análisis de su impacto y de su frecuencia, así como también la selección de los controles de seguridad. En fin, esto es un círculo completo que se debe integrar en este enfoque basado en riesgo. Y el punto final, o el punto tercero, para cerrar mi respuesta a la pregunta que me hacías, es todo lo que corresponde a la adaptabilidad del entorno, Y más hoy en día que estamos viviendo bajo un contexto variable y muy dinámico, ¿verdad?
Speaker 2:Todos tenemos el precepto de que las amenazas cambian, que los sistemas también pueden incluso llegar a evolucionar constantemente. Todo lo que es tecnología, no se diga, también cambia y se transforma rápidamente. Incluimos aquí temas como la nube, temas como la inteligencia artificial o el trabajo remoto. Influyen sí o sí de forma definitiva en que estemos viviendo bajo este precepto, por lo que, entonces, el enfoque basado en riesgos es dinámico y revisable, dado que nos permite adaptarse o ver lo que se adapte muy bien a todo lo que tenga que ver con el cambio, pero sin tener que reconstruir todo el sistema de seguridad. Así que todo el enfoque basado en riesgos es una gestión dinámica es una gestión adaptable.
Speaker 2:Siempre se va a centrar en entender la relación que debe de existir entre los activos críticos, las amenazas emergentes y el impacto, y lo que permite ajustarse muy bien y de manera continua a los cambios. Se trata de esta parte, de este enfoque del cual estamos hablando. Cambios como los que ya mencionamos también, como los servicios SaaS, muy de moda hoy en día, la incorporación de inteligencia artificial también. Todos queremos aprovechar sus beneficios, y ahora incluyo también el incremento de algunas amenazas o riesgos, como ransomware, phishing, así que se logra tener una reevaluación continua de los riesgos Valiosa.
Speaker 1:Toda la información y los datos que compartes Y siguiendo esta línea de información nos lleva a pensar que la seguridad es un engranaje transversal a toda la organización. Ya, no se puede hacer un esfuerzo aislado del área de TI o de cumplimiento. Entonces, Jorge, para terminar de entender ¿cómo deben integrarse los riesgos de seguridad de la información en la gestión general de riesgos corporativos, Bueno, la pregunta es muy buena y la aprovecho aquí a explicar con un poquito de más detalle.
Speaker 2:No está de más mencionar que la integración de los riesgos de seguridad de la información dentro de los riesgos o de la gestión de riesgos corporativos pues es fundamental y es clave para que nos permitan garantizar tener una visión holística y tener también una visión coherente y sobre todo eficaz de la exposición de riesgo que tiene toda la empresa. Eso es un tema muy importante Y su importancia radica esencialmente en que, si tomamos en cuenta que estamos viviendo en un entorno que constantemente se debe de adaptar a un ambiente cada vez más digital, entonces estos riesgos ya no son un problema exclusivo del mundo técnico, sino que ahora, pues, también se integran en un conjunto de riesgos estratégicos, riesgos operativos, riesgos de carácter normativo, que también tienen que formar parte del proceso para la toma de las decisiones. Y para que se pueda lograr tener una integración real, los riesgos de seguridad tienen que quedar vinculados con los objetivos, con los procesos y también tienen que quedar vinculados con los activos críticos para nuestras entidades. Y eso da por supuesto una implicidad que tenemos que identificar como una amenaza que la pérdida de lo que hemos mencionado, de los pilares de seguridad de la información, que la pérdida de lo que hemos mencionado, de los pilares de seguridad de la información, la confidencialidad, la integridad o la disponibilidad de la información, puede afect, que es un daño muy alto, el que puede recibir nuestra compañía, y un poquito más difícil todavía es superar ese daño que se ha realizado.
Speaker 2:Esto también implica que tenemos que convertir o traducir todos estos riesgos a un lenguaje que se pueda entender con la alta dirección, con todo el comité. Es decir, una de nuestras responsabilidades también radica en buscar cómo explicar que todos estos riesgos pueden representar también un impacto financiero o un impacto legal y también un impacto reputacional como parte de las consecuencias si no llegan a ser gestionados adecuadamente. Un mensaje para nuestra audiencia, que en esta ocasión nos acompaña, es también que bueno, como empresas debemos definir criterios que puedan quedar unificados para poder hacer la medición y comparación de los riesgos, independientemente de su origen. Y por lo tanto, en la parte de la evaluación de los riesgos, pues idealmente debemos utilizar escalas en común para medir la probabilidad y el impacto y luego incluir entonces ahí, si ya, esta parte de riesgos tecnológicos en el apetito de riesgo de nuestras políticas, para que de esta forma, pues también podamos dejar definidos y establecer los umbrales de tolerancia para eventos tecnológicos del mismo nivel que otros riesgos.
Speaker 2:Además, todo lo relacionado a la gestión de este tipo de riesgo, que vamos a llamar riesgo tecnológico, tiene que contar con un responsable asignado dentro del área de gestión de riesgos corporativos de toda la empresa.
Speaker 2:Esto, pues, con la idea de que la alta dirección también pueda recibir informes periódicos sobre la exposición de riesgo de seguridad y que incluya métricas claves como los indicadores de riesgo, los KRIs, los KPIs y la evolución de posibles amenazas.
Speaker 2:Al final de cuentas, y dicho todo esto, pues los incidentes y las vulnerabilidades los tenemos que tomar en cuenta en un dashboard de gestión de riesgos de toda la compañía y también, pues la recomendación es que deben en cuenta en un dashboard de gestión de riesgos de toda la compañía Y también, pues la recomendación es que deben de aparecer en el mapa de riesgos, con la idea de que estos riesgos tecnológicos claves puedan también participar o figurar entre los top risks del negocio cuando sus consecuencias lo lleguen a justificar, cuando sus consecuencias lo lleguen a justificar.
Speaker 2:Lo que implica que también las auditorías y las autoevaluaciones de seguridad nos deben de brindar esa parte, ese feedback pertinente de todos los procedimientos de la evaluación. Y al final hay que tomar en cuenta que la seguridad debe estar presente también en las decisiones estratégicas, como lo hemos mencionado anteriormente, ¿verdad? Como por ejemplo cuando se haga la adopción de nuevas tecnologías o cuando se presenten fusiones y adquisiciones, o en la elección de proveedores también, así que al final, y gracias también a esta integración efectiva, nos vamos a permitir tener un mejor aprovechamiento de todos los recursos que tengamos disponibles. Vamos también a evitar sorpresas que puedan ir surgiendo en la marcha, a lo largo de toda nuestra gestión y, sobre todo, a mantener una empresa, una entidad que sea mucho más resiliente ante esta parte del riesgo digital.
Speaker 1:Bueno, mencionaste integración, aparte del riesgo digital. Bueno, mencionaste integración. Ahora entendemos que esto es clave para que el SGSI no sea un documento de cumplimiento, sino más bien una herramienta real de gestión. Y ya que vamos sobre esa línea de realidades, cada cierto tiempo el mundo empresarial se sacude con incidentes de ciberseguridad que nos dejan grandes lecciones. En ese sentido, jorge, ¿qué hemos aprendido de los grandes incidentes de ciberseguridad recientes sobre gestión de riesgos?
Speaker 2:Al respecto hay bastantes temas que mencionar. Voy a tomar como referencia para la respuesta a un informe que se publicó hace poco de esta entidad, un gigante de tecnología que es la IBM, sobre el índice de inteligencia de amenazas. En este reporte o en este informe están publicando que nos revela que nuestro sector acá en América Latina, representó el 8% de los incidentes reportados a nivel mundial que se vieron de alguna manera afectados con temas de ciberseguridad. En este informe me llamó mucho la atención que se mencionan que los delincuentes están adoptando tácticas y técnicas que ahora son más discretas o más disimuladas, especialmente para el robo de credenciales y también para realizar ataques tipo ransomware, que hoy día se han visto en un repunte increíblemente alto en la región. Esto va desde México, centroamérica y toda la parte del sur de América. Por ejemplo, se han sabido de casos como el Banco do Brasil que estuvo enfocado el ataque. ¿verdad, el ataque estuvo enfocado en sus empleados y permitió que los atacantes tuvieran acceso a las bases de datos del banco¿.
Speaker 2:Cuál fue la consecuencia de todo esto? Pues, que el robo de los datos personales y financieros de más de 2 millones de clientes fueran utilizados para cometer delitos financieros que, al final de cuentas, ascendieron a un total de 40 millones de reales, que más o menos vienen siendo como unos 7 millones de dólares, es decir, representan pérdidas importantes para nuestras entidades y para nuestros clientes el no atender adecuadamente estas medidas de control. Por mencionar otro caso, se presenta una situación un poco similar con el Bank of America que en febrero del 2024 también tuvieron una falla de seguridad en toda la parte de su sistema financiero. tuvieron una falla de seguridad en toda la parte de su sistema financiero que lamentablemente los llevó a exponer muchos datos personales y cuentas de más de 57,000 de sus clientes. Todo esto nos demuestra la importancia que tiene que se haga una gestión adecuada de los riesgos de seguridad de la información Y, conforme a lo que hemos venido discutiendo en nuestro podcast, pues también es importante que se incluyan también de la información Y conforme a lo que hemos venido discutiendo en nuestro podcast, pues también es importante que se incluyan también la parte de la gestión de riesgos, que estén asociados con proveedores O sea. esa es una ventana que no tiene que quedar descuidada.
Speaker 2:Todo esto también nos deja muchas lecciones profundas sobre cómo se gestiona, o no se gestiona o no se está gestionando el riesgo en entornos digitales complejos. Todas estas situaciones que les mencioné, ¿verdad? Y hay más, por supuesto. pero no solo estuvieron exponiendo vulnerabilidades técnicas que tienen cada una de estas empresas, sino que también fallas estructurales en la forma en que muchas empresas entienden y aplican la gestión de riesgos en seguridad de la información. Esto nos lleva a decir entonces también que la gestión de riesgos no puede ser una actividad estática ni burocrática, por decirlo de alguna manera.
Speaker 2:Uno de los horrores que la gente más comúnmente comete a través de estos incidentes es que se trata, o se le da un tratamiento a la parte de la evaluación de riesgos como un registro, como un documento que se llena una vez al año. En cambio, los incidentes recientes nos han estado demostrando que las amenazas evolucionan mucho más rápido de lo que nosotros estamos pensando y que todo el entorno de tecnología es muy dinámico. No nos podemos confiar en que ya tenemos ciertos controles aplicados, porque por el espacio más pequeño, por la puerta que esté menos asegurada, existe el riesgo que por ahí pueda presentarse alguna falla de esta naturaleza. La recuperación es un elemento importante en la parte de la gestión de riesgos, especialmente de estos riesgos que giran en torno a temas como el de la seguridad de la información.
Speaker 2:En muchas de las oportunidades que se han presentado, e incluso los casos que mencioné, lo que empeoró la situación no fue tanto el ataque inicial, sino más bien la falta de la preparación para poder responder los ataques y para poder recuperarse de los ataques.
Speaker 2:también, preparación para poder responder los ataques y para poder recuperarse de los ataques también, en parte por la ausencia de planes de contingencia, de planes de respuesta no se hicieron pruebas a posibles incidentes o también por las dificultades o problemas que se puedan presentar en la comunicación tanto interna como externa de cada empresa, o por la pérdida de tiempo importante de no saber qué hacer o a quién llamar en el momento en que se presenta algún incidente. Y ahí radica entonces que las políticas que se diseñan también figuren dentro de la parte de las pruebas de recuperación, verdad? Porque esa es la forma de hacer la medición de la efectividad, medición de la efectividad. Así que todo esto nos deja muy claro el esfuerzo que debemos hacer en la parte de la necesidad de la gestión de riesgos que incluyan etapas de preparación y simulacros de resiliencia, no solamente de la parte de prevención.
Speaker 1:Gracias, jorge, qué interesante. Ahora se une a la conversación Liliana Martínez, desde Colombia. Ella viene trabajando desde hace muchos años con normas, estándares y buenas prácticas y tiene una mirada muy aplicada de cómo estas herramientas funcionan en la práctica. Liliana, ¿cuáles entonces, sobre esta presentación, cuáles son las tendencias actuales que las organizaciones deben considerar, sobre todo para proteger su información y sus datos?
Speaker 3:Bueno, juan, muchísimas gracias por su consulta. Efectivamente, las organizaciones tienen como base la ISO 27001, que es un estándar internacional de seguridad de la información. Con esto las empresas lo que buscan es garantizar que se tienen los requisitos y controles de seguridad de la información implementados en la organización que van a permitir precisamente mitigar riesgos de seguridad de la información sobre los activos, de información importante dentro de las compañías. También es bueno considerar aquí que la ISO 27001 es la norma certificable, pero la acompaña la ISO 27002, que es la guía de buenas prácticas para conocer cómo se implementa en forma efectiva ese sistema de gestión. Entonces las organizaciones, cuando tienen una obligatoriedad, ellos proceden con esta norma. Pero lo más interesante es que cuando no tienen una obligatoriedad, ellos proceden con esta norma. Pero lo más interesante es que cuando no tienen la obligatoriedad y están interesados en organizarse, digamos internamente, entonces eso es mejor todavía, ¿cierto? Porque no vamos a ser correctivos, sino que vamos a ser preventivos dentro de la organización. Todos los sistemas de gestión nos piden trabajar por procesos, nos llevan precisamente a nosotros tener unas mediciones del desempeño de estos procesos y a que nuestra alta dirección pueda tener datos confiables y datos de cada uno de los procesos que intervienen o están interrelacionados en toda su actividad económica. Bueno, es importante, juan y Jorge, que aquí tengamos en cuenta que las organizaciones, cuando deciden tener un sistema de gestión, pues hay una conciencia, hay una formación en lo que conlleva este sistema de gestión¿. Qué es lo bueno aquí? Que se articulan muchas piezas.
Speaker 3:Vamos desde la planeación estratégica organizacional pasando por la planeación estratégica de seguridad de la información. A su vez vamos con una gestión del riesgo, vamos midiendo los procesos, las operaciones de nuestros procesos, la documentación de nuestros procesos, vamos generando precisamente revisiones al sistema de gestión. Y otra cosa muy importante que es bueno que tengamos claro es que ya tenemos la versión 2022 de la ISO 27001 y aquí, precisamente, venimos con unos 93 controles de seguridad. Digamos que para quienes manejaban la 2013, pues teníamos 114 controles, ahora tenemos 93 controles de seguridad. No es que se hayan desaparecido, no más que todo se integraron y aparecieron nuevos controles que nos van a permitir, precisamente, tener más prevención dentro de la compañía o monitoreo permanente a nuestros activos críticos.
Speaker 3:Entonces, qué bueno que las organizaciones en cabeza de esa organización interna de seguridad de la información le pongamos atención a esta parte. Por otra parte, la alta dirección sí que juega un papel importante aquí, mientras nuestra alta dirección, nuestro gerente, nuestro presidente, digamos la máxima autoridad de la compañía, esté convencido que esto le va a traer grandes beneficios a la organización. Estamos ya, digamos, al otro lado, por qué decimos eso? Porque cuando hablamos de prevención y el sistema de gestión precisamente es prevenir los riesgos de seguridad sobre los activos de información Entonces cuando nosotros conocemos nuestros activos, clasificamos nuestros activos y sabemos exactamente qué es lo que necesitamos tratar, estamos precisamente ahorrándole dinero a la compañía porque estamos previniendo. Entonces es muy importante conocer eso que estamos previniendo, entonces es muy importante conocer eso.
Speaker 3:La norma ISO 27000 nos habla precisamente de nosotros salvaguardar la confidencialidad, integridad y disponibilidad de esos activos de información. Ahora, juan, usted también me indicaba el tema de los datos. ¿cierto Todo lo que hemos hablado? digamos, en principio, quien tenga una ISO 27001, sistema de Gestión de Seguridad de la Información, ya está controlando, ya está salvaguardando, ya está tratando sus riesgos sobre activos de información importantes como la parte física y la parte digital, porque es muy bueno entender eso. Seguridad informática es sobre lo digital, seguridad de la información es lo físico y lo digital. Entonces estamos hablando de que yo puedo, si tengo un pagaré físico, estoy trabajando, riescción de los datos.
Speaker 3:Pues ya llegamos o hilamos un poco más fino? Sí, porque aquí ya no estamos hablando solo del documento, sino de revisar si ese documento tiene datos sensibles. Eso es importante, tenerlo en cuenta. Por otra parte, juan y Jorge, estos controles de seguridad de la información actualmente tienen temas muy importantes. Es una diferencia que hay con la 2013.
Speaker 3:La 2013 nos traía 14 objetivos de control, 114 controles de seguridad. Ahora lo que tenemos son cuatro temas importantes Está dividida la norma en los tecnológicos, en los de personas, en los físicos, en los humanos. Entonces, qué bueno? porque inclusive mencionábamos el tema de amenazas, y las amenazas están en el recurso humano, en los proveedores. Allí nosotros tenemos que establecer políticas de seguridad, precisamente concientizar a los empleados, a nuestros usuarios finales, a nuestras partes interesadas, en qué debemos tener en cuenta, ¿cierto?
Speaker 3:Para minimizar estos riesgos de seguridad de la información temas de control en el teletrabajo, control en el recurso humano, control de acceso, criptografía, seguridad física, la seguridad de las operaciones, que es tan importante. Y aquí yo quiero hacer énfasis en el tema de trabajar por procesos. Precisamente, los sistemas de gestión ya nos piden ese enfoque por procesos, que va precisamente desde tener un mapa de procesos, identificado, irnos, hasta una caracterización cuáles son sus entradas, sus salidas, sus recursos, sus controles? cómo los vamos a medir? qué parte legal, tenemos que, digamos, cumplir y estos indicadores que son tan importantes para medir el desempeño de esos procesos.
Speaker 3:Entonces, cuando nosotros hablamos seguridad de operaciones, indica que nosotros tenemos que documentar, que tenemos que tener procedimientos detallados de cómo hacemos nuestras actividades, porque eso nos está asegurando precisamente que el personal que tengamos, o nuestro personal nuevo, pues, solo tiene que acudir a unos procedimientos para conocer exactamente qué es lo que debe hacer. Entonces es parte, precisamente, tenemos seguridad de las comunicaciones, el tema de seguridad en la adquisición, desarrollo y mantenimiento de software, la seguridad de los proveedores, el tema de los incidentes de seguridad, cómo lo estamos manejando, y por último, pues, el tema de cumplimiento legal, que es importantísimo. Aquí hemos estado hablando de precisamente la ley de protección de datos. Esa es una parte que debe estar identificada actualmente dentro del proceso correspondiente y adicional. Por ejemplo, derechos de propiedad intelectual, es otro control de seguridad, cierto.
Speaker 3:El tema de licenciamiento en las empresas, dependiendo de la actividad económica que ejerzan. Entonces mire que la norma pues le está dando valor, le está dando peso, le está dando importancia a varios temas que actualmente algunos se manejan en tecnologías de la información. Pero, digamos, no puede ser juez y parte. Entonces otra persona tiene que estar revisando precisamente las acciones que se toman. Es importante entonces tener en cuenta que, para implementar todos estos controles de seguridad de la información, estamos precisamente concientizando con políticas de seguridad a nuestros, digamos, usuarios finales y nos va a permitir articular a la organización, con todos estos procesos y ese gran compromiso de la alta dirección, desde el más alto nivel que tengamos en nuestro organigrama hasta, digamos, el nivel más mínimo que tengamos.
Speaker 3:Entonces con eso nosotros estamos previniendo precisamente todos esos riesgos que pueden estar en temas de nuestros activos de información. Estamos conociendo de cerca cómo están esos activos y tomando precisamente medidas sobre eso. Aquí también hablamos de que los sistemas de gestión y es importante que lo tengamos en cuenta los sistemas de gestión pasan por el ciclo PHBA planear, hacer, verificar y actuar. Entonces hay organizaciones que consideran que ya tener la planificación, ya tienen un sistema, no tanto para la auditoría interna, que es ente certificador.
Speaker 3:Nos diga, efectivamente, usted tiene, usted implementó, usted está manteniendo y de sus procesos, la etapa de planificación dentro de nuestro sistema de gestión ISO 27001, sistema de gestión de seguridad de la información, indica que el requisito 4, el requisito 7, sí que por darles o por mencionarles esos requisitos, estaríamos hablando de contexto interno, partes interesadas, todo el tema de la gestión de los riesgos, que pasa pues por la metodología que la organización determine.
Speaker 3:Y después de eso, pues, viene lo que es el hacer, que es demostrar la operación o sea la ejecución de todo lo que planificamos. Posterior viene la etapa del verificar, que allí se incluye la revisión por nuestra alta dirección de todo lo que tenemos, se incluye todo el tema de seguimiento con indicadores y también tenemos la auditoría interna que nos permite mejorar precisamente ese sistema de gestión. Y por último, pues, debemos nosotros demostrar el actuar de la norma, que es el requisito 10, donde nos indica precisamente que deben haber unas acciones de mejora y unas acciones correctivas, correctivas sobre todo aquello que, a lo mejor, planificamos y no se dio o salió mal, ¿cierto, hubo errores o inconsistencias, o bueno, las famosas no conformidades dentro de auditoría, y nuestras acciones de mejora que se hacen precisamente sobre lo que yo ya tengo. Entonces, qué bueno esa pregunta, juan, para que las organizaciones sepan que sí existe, que sí hay una ruta para nosotros trabajar los temas de seguridad de la información y protección de los datos.
Speaker 1:Gracias, liliana. Entonces entendemos que estas tendencias nos están marcando una hoja de ruta para muchas organizaciones. Sin embargo, muchas veces lo difícil es saber por dónde arrancar, especialmente cuando hay limitaciones de recursos o de conocimiento interno, como lo mencionabas Ahora. sobre ese contexto, ¿cómo pueden, liliana, las organizaciones proteger su información? Y voy más allá con la pregunta ¿por dónde deben comenzar?
Speaker 3:Bueno, juan, ahora por dónde iniciar esa pregunta? está muy buena, juan, A ver lo primero, pues hay que concientizarnos. A ver lo primero, pues hay que concientizarnos. O sea, hay que ir con la formación de todas las personas, es muy recomendable, pues ojalá, fuera de toda la empresa, ¿cierto? Pero inicialmente podemos estar hablando de nuestras jefaturas, de nuestras coordinaciones, incluyendo la alta dirección, que es tan importante, que de hecho tiene un requisito específico, incluyendo la alta dirección, que es tan importante que de hecho tiene un requisito específico, dos requisitos específicos dentro de este estándar internacional de cumplimiento permanente. Entonces, para iniciar, conocer o sea por parte precisamente de nuestro DTI o del responsable de seguridad de la información, conocer que existe este estándar internacional ahora, en su versión 2022. Cuando se conoce la estructura, cuando se concientiza sobre la importancia de tener estos controles de seguridad y, a su vez, todo este sistema de gestión articulado dentro de toda la organización, pues podemos decir que al conocer esto, podemos conocer la ruta de implementación de esta norma. Aquí yo les quiero dar algunos datos importantes. Si yo voy a ir a una certificación ISO 27001, pues no puedo omitir ningún requisito de seguridad y los controles deben estar declarados o justificados.
Speaker 3:La exclusión de estos controles, la exclusión de estos controles, entonces hay que llegar a tener, obtener este 100% de implementación. Si es que voy a llegar a una certificación, si no voy a llegar a una certificación, pues muy importante que nuestro OSI, o la persona que lo va a hacer, pues haga como que un diagnóstico a esta seguridad de la información, que inclusive con esto les ayudamos a las empresas a que conozcan en qué punto están de ese diagnóstico. Entonces, si yo tengo 93 controles de seguridad que están especificados dentro de un estándar internacional y que ya me dicen qué es lo que debo tener, yo puedo tener como resultado en qué porcentaje me encuentro de implementación de esos controles de seguridad de la información Y a su vez, también, si lo que quiero es implementar el total de la norma, entonces este diagnóstico me lo va a indicar Aquí. Yo quiero pues recomendarle a las empresas y por el tiempo y experiencia que ya llevo en este campo, prácticamente pienso que nací con esa norma. Espero sea solamente ahí un pensamiento, juan, es solamente que esa persona encargada de estos temas de seguridad de la información, que puede ser TI o que si ya tenemos un responsable de seguridad de la información, digamos simplemente ese camino, esa ruta de primero conocer el estándar, luego hacer un diagnóstico interno a la seguridad de la información y luego tomar decisiones porque, pues, muchas veces implementar esto necesita la asesoría, la ayuda de un consultor, ¿cierto? Que nos vaya guiando en cómo yo debo implementar estos requisitos y estos controles.
Speaker 3:Aquí es donde es importante aclarar que la ISO 27002, que es nuestra guía de buenas prácticas nos dice cómo podemos nosotros implementar esos 93 controles de seguridad, si nos llegan a aplicar De todos modos. Ahí está la forma, está la guía, está el propósito, hasta nos dice la nueva norma si es un control preventivo, si es un control correctivo, si es un control detectivo, entonces generalmente empezamos con los que son preventivos, ¿cierto? Porque finalmente, los que son correctivos pues ya pasó. Entonces es muy importante tener en cuenta esto y que se haga conciencia al interior de la organización y por ende, pues aquí los gerentes Y con esa respuesta ya se puede lanzar un plan operativo para que la organización pueda comprometerse con ese objetivo estratégico porque de hecho debe ser un objetivo estratégico donde la alta dirección esté bastante comprometida, esté bastante comprometida.
Speaker 3:Como dato importante, ti tiene casi el 70% de implementación de la norma. Entonces todos los procesos, toda la organización pertenece a un proceso y todos los procesos van a tener trabajo dentro de la implementación de la norma, inclusive en todos los temas de enfoque por procesos, en documentar sus actividades principales. Pero el 70% de la implementación de controles se hace en tecnologías de la información, porque él es el dueño de todo este hardware, de todo este software dentro de la entidad, digamos del software más robusto, de los activos de información más críticos dentro de la entidadidad son manejados precisamente por tecnología. Entonces, como él no puede ser juez y parte, pienso que también podemos empezar por nombrar un responsable de seguridad de la información o nombrar un OSI dentro de la organización. Este responsable ya sabemos que debe estar ya formado en los temas de ISO 27001-2022, que son precisamente a partir de este año.
Speaker 3:Ya no hay certificaciones con la versión anterior. O sea que generalmente, cuando sale una versión de un sistema de gestión, nos dan dos años para nosotros hacer un tema de, digamos, de actualización de lo que tenemos a la nueva versión. Sin embargo este tiempo ya pasó. Actualización de lo que tenemos a la nueva versión, sin embargo este tiempo ya pasó. Entonces estamos como que en el momento precisamente de iniciar con esta 2022.
Speaker 3:Hay unos datos importantes, juan, que las empresas que nos están escuchando, las personas que nos están escuchando, las diferentes empresas de nuestros clientes, una implementación puede durar 15 meses. ¿por qué? Porque tenemos que nosotros recuerden pasar por todo el ciclo, planear, hacer, verificar, actuar, o sea el PHBA, para poder alcanzar una certificación para las empresas que quieran llegar hasta allá. Ya sabemos pues que implementarnos, ya sea en una ISO 9001, en una 27001, en una 45000, en el sistema de gestión que sea, lo que va a hacer, es que va a dar precisamente. Vamos a tener un plus allí una certificación No solo nos garantiza que la entidad está a la vanguardia de estos estándares internacionales y de que está asegurando, en nuestro caso, la protección de nuestros datos, le da tranquilidad al socio, es una mejor imagen Y, adicional a eso, pues estamos precisamente internamente cuidando los recursos, cuidando las personas.
Speaker 3:Los proveedores se convierten en activos de información importante. Entonces, si yo estoy mitigando esos riesgos, lo que significa es que la empresa está minimizando la posibilidad de un riesgo de seguridad, y eso es precisamente cuidar el presupuesto de la organización. Entonces es lo mínimo que se puede plantear porque una 9001 que no tiene controles de seguridad, digamos que un mínimo de nueve meses o un mínimo de doce meses, pero aquí estamos hablando, repito nuevamente, de 10 requisitos y 93 controles de seguridad y que deben pasar por esa etapa. Entonces, por darles un ejemplo hasta que yo no termine la planificación, pues no puedo empezar a ejecutar. Son los pasos lógicos, ¿cierto? Yo planifico, ejemplo unas capacitaciones, ya sé cuándo las voy a hacer, en qué tiempo, con quién, para quién son, y luego empiezo a ejecutar ese plan. Eso mismo es lo que se plantea para cada uno de los procesos de la norma.
Speaker 3:Entonces por eso la alta dirección tiene que estar tan comprometida. Y la norma precisamente indica que la alta dirección debe comprometerse con esos recursos. ¿por qué? Porque allí no solamente es pagarle al consultor, también es importante saber que pueden existir herramientas que tengamos que invertir ¿cierto Herramientas? para poder cumplir esos controles, o recurso humano o tiempo, ¿cierto que eso pueden ser físicos, tecnológicos, que pueden ser económicos, financieros, etc.
Speaker 3:Están involucrados dentro de una implementación. Entonces por eso es que la alta dirección también desde el principio debe conocer cuál es el contenido de esta norma, en dónde estamos y para dónde vamos. Y también aquí entra el tema del Comité de Seguridad de la Información, que hace parte de la Organización Interna de la Seguridad de la Información. ¿por qué? Porque es un equipo de trabajo multidisciplinario que generalmente son los líderes de los procesos que están tomando precisamente decisiones sobre el sistema de gestión de seguridad de la información. Entonces todo esto, juan, cobra mucha importancia dentro de las organizaciones que no tengan tantos activos de información. Entonces no sale o no hay que invertir tanto. Pero si es una empresa grande, también tenemos que evaluar el tiempo que nos vamos a demorar. porque me he demorado en cooperativas financieras hasta dos años y medio, hasta tres años.
Speaker 3:Porque el tema de documentar procesos es algo que dentro de las organizaciones es demorado, ¿cierto? Porque las personas no están acostumbradas a trabajar bajo unos procedimientos documentados o bajo una documentación del proceso.
Speaker 3:Y eso es seguridad? Quien lo creyera? es seguridad que yo tenga un procedimiento de copias de respaldo y que me diga a qué le hago copia, cuándo le hago copia, cómo queda esa copia, en qué medio estoy haciendo esa copia, qué metodología estoy empleando, y no sólo si la realizo, sino si la verifico y si, digamos, yo estoy precisamente haciendo pruebas de restauración sobre esa copia de seguridad. Bueno, entonces aquí lo más importante ante su pregunta, juan, es precisamente que las empresas tengan un orden, sepan hacia dónde van, qué tengo en seguridad de la información, qué puedo lograr con mi presupuesto, el tamaño de la compañía, las estrategias que tiene la entidad. Tengo empresas que han empezado, han iniciado y siempre lo he dicho, para mí es un 40% el tener gestión por procesos, que es el requisito 4.4 de la norma, que es el levantamiento precisamente de las actividades que la organización tiene como importantes en cada uno de esos procesos, porque precisamente el enfoque por proceso es la interacción que todos vamos a tener para lograr un objetivo específico de la organización, para lograr esa actividad económica o ese alcance de nuestra actividad económica.
Speaker 3:Entonces, tener los objetivos claros, tener las metas claras dentro de la entidad, qué tiempo nos vamos a demorar? tener un líder de este proyecto e ir precisamente cada mes, ¿cierto? Ir revisando cómo vamos con ese plan operativo. Y así vamos avanzando.
Speaker 3:Entonces, si es una empresa micro o pequeña, puede empezar por algunos temas importantes, como es la gestión por procesos, que la gestión por procesos, hace un momentico decíamos, va desde la identificación de los procesos claves dentro de la organización, los estratégicos, los misionales, los de soporte, y de allí voy revisando también qué puedo llegar a documentar, digamos formalmente, qué es lo que puedo tener allí dentro de la organización, y va andando el sistema de gestión. Entonces podemos empezar con los requisitos, con algunos controles que son importantes y así, dependiendo, como digo, de la inversión que pueda la empresa dar, o ese tiempo que pueda dar o se puede organizar ese plan operativo? Hace un momentico Jorge hablaba sobre las amenazas de seguridad de la información. Esta nueva versión de la norma trae controles de seguridad nuevos, como inteligencia de amenazas, como el tema de seguridad de servicios en la nube, como el monitoreo permanente en temas de nuestros activos críticos. Más seguridad física, inclusive la eliminación de la información, el enmascaramiento de los datos con filtrado web, la codificación segura.
Speaker 3:Controles de seguridad están en la nueva versión, lo que significa que ya le estamos dando muchísimo más interés a temas que teníamos de pronto dentro de la norma anterior o versión anterior, pero que de pronto eran periodos de tiempo muy largos para determinar o tomar acciones preventivas. Entonces todo esto lo organiza la nueva versión de la norma. Entonces no hay que tener miedo. Yo sea, no necesitan llegar a la certificación, pero sin embargo llegan a la certificación por los beneficios que esto tiene. Sí, y hay otros que se quedan con la implementación interna, pero que también, de alguna manera, si le damos todo el cuidado y toda la importancia, vamos a estar salvaguardando nuestros activos de información y vamos a minimizar los riesgos que podamos tener.
Speaker 1:Ese punto de partida que mencionas es fundamental, porque un buen diagnóstico inicial puede marcar la diferencia. y es ahí donde el sistema de gestión cobra relevancia, No como un fin en sí mismo, sino más bien como un medio para gestionar mejor los riesgos. Liliana, entonces quiero preguntarte ¿cómo conectan los riesgos de seguridad de la información en la implementación de un SGSI?
Speaker 3:organizacionales, dentro de las empresas. El tema de seguridad de la información precisamente se centra en cómo la organización debe tratar los riesgos de seguridad de la información que van sobre sus activos críticos, precisamente para ser preventivos y no correctivos. Entonces aquí es importante conocer que la norma trae unos capítulos o unos controles de seguridad que tienen que ver con levantar los inventarios. Así se inicia ¿no Levanto los inventarios de los activos de información organizacionales? es decir, tengo mis procesos, tengo mis líderes de procesos y con ellos vamos a hacer un análisis sobre esos activos de información, vamos a revisar sus amenazas, sus vulnerabilidades, vamos a conocer precisamente la calificación que damos sobre confidencialidad, integridad y disponibilidad, cómo calificar cada uno de esos activos de información. Una metodología sencilla donde ya nosotros podamos decir perfecto, de estos 100 activos de información. Una metodología sencilla donde ya nosotros podamos decir perfecto, de estos 100 activos de información, estos 6, estos 7, estos 10 son los activos críticos Inmediatamente. Eso conecta con mi metodología de riesgos de seguridad de la información. Esa metodología nos pide precisamente los capítulos 6 y 8 de la norma, nos dice bueno, perfecto, pero usted debe decir cuál es la metodología que va a emplear y no solo eso, sino cómo identifica y que pase por esas etapas, que identifique, que valore, que analice, que evalúe, que trate y que le haga seguimiento a esos riesgos de seguridad. De eso a eso se vuelve un tema que debemos llevar al Comité de Seguridad e inclusive con las cooperativas financieras pues tienen otras instancias que debemos articularnos, que debemos socializarles para que esos riesgos de seguridad cobren un papel muy importante dentro de la entidad y sobre todo, pues conocer desde esa metodología de seguridad, la información, cuáles son esos riesgos de seguridad y qué tratamiento le vamos a dar a esos riesgos. Entonces miren que si hacemos el comparativo con otros sistemas de gestión, pues hablamos de que 9001 son nuestros riesgos organizacionales basados en la calidad del servicio, nuestros riesgos organizacionales basados en la calidad del servicio, aquí nosotros, o del producto, aquí nosotros estamos hablando de riesgos de seguridad que tienen que ver con seguridad de la información. Hay otro estándar internacional, adicional a las ISO 31000, que es recomendada por la norma que la ISO 31000 nos dice cómo gestionamos los riesgos, de nos podemos basar en esa metodología para cualquier tipo de riesgo. Pero aquí tenemos también la ISO 27001 que nos habla inclusive de los escenarios de riesgo, de las tablas que nos permiten información ya identificada y pues ya al interior de la organización, acogernos a las buenas prácticas, a esos documentos de referencia que nos dicen cómo podemos nosotros aplicar esa metodología.
Speaker 3:Yo siempre le digo a las empresas necesariamente usted no tiene que tener un furgo de dinero, sino que al principio uno puede inclusive apoyarse en program O si no, más adelante yo puedo demostrar ese mejoramiento del que hablábamos, ese requisito 10, ese actuar de la norma, y yo puedo decir bueno, ahora ya tengo mucho riesgo, ya se me dificulta un poco la parte estadística, y proceder precisamente con un aplicativo. Si yo puedo desde el principio, pues ya sabemos que lo mejor será automatizar siempre. Si no puedo desde el principio, pues voy a dejar una matriz en Excel que nos ayude a generar todas estas evidencias, todas estas estadísticas que desde allí podamos hacer todos estos monitoreos. Entonces, juan, entonces Jorge, entonces, señores, oyentes, pienso que estas son las rutas que debemos tomar.
Speaker 3:Gestión de riesgos es un capítulo o dos capítulos muy importantes de la norma, porque hay una trazabilidad entre la planificación y ya luego la ejecución, la revaloración inclusive del riesgo y todos estos planes de tratamiento. Eso es ¿cierto, validar precisamente cómo lo estamos haciendo. Entonces hay que tener claro que, para llegar a ya tener la evidencia de riesgos de seguridad, su tratamiento y las demás etapas, pues yo tuve que haber hecho previamente mi clasificación de la información y hasta el etiquetado, para yo saber cómo lo voy a manejar. Y esto que estoy hablando, todo está dentro de la norma, dentro de la norma internacional. Entonces esta identificación hace precisamente o le da valor a esa matriz de riesgos de seguridad de la información que estamos teniendo dentro de la organización. Ahí, es muy importante.
Speaker 3:Hay empresas que están trabajando riesgos legales, riesgos de liquidez, riesgos propios de su actividad económica, pero aquí como vamos a trabajar? enfoque por procesos, son los riesgos a los activos de información, y todos los procesos tienen identificados o deben tener identificados activos de información, ¿cierto? Activos que va lo que hablábamos, desde un documento físico hasta un documento digital, todo lo que se pueda manejar en temas de software, en temas de hardware, en temas de personas. Quien creyera que el recurso humano es tan importante? ¿cierto Saber ese vigilante que conoce toda la operación de la entidad? qué medidas de seguridad deberíamos tener con ellos, ¿cierto? Y en qué riesgo nosotros estamos con nuestros proveedores, con nuestros clientes, con nuestros socios? Entonces eso va incrementando precisamente la posibilidad de tener que minimizar riesgos.
Speaker 3:Ahora, muy seguramente esa metodología porque también la pregunta de yo tengo que tratar todos los riesgos de seguridad, no, pero sí debe empezar por los críticos, de permitirle, ¿cierto, revisar el impacto que va a tener ese riesgo y la probabilidad de que eso ocurra, para que eso le dé un nivel de riesgo que puede ir alto, medio, bajo, o que su tabla de calificación usted lo va a decir en una metodología o en un procedimiento. Entonces digamos que usted dice que los que le queden rojo van a ser críticos, entonces ahí va a tener usted que decir cuál es su opción de tratamiento. Y adicional, también la norma le dice bueno, pero con qué control de seguridad? ¿cierto Declare la aplicabilidad de controles dentro de ese riesgo? Y ahí también debemos decir si ya lo tenemos, si ese control ya está implementado pero no está siendo efectivo, o si no estaba documentado, o sea, tantas opciones que nosotros debemos tener en cuenta en la parte de riesgos de seguridad de la información. Entonces que hay un ejemplo del tema de derechos de propiedad intelectual.
Speaker 3:¿cierto, Si yo ya sé que no tengo licencias, no tengo la legalidad de mis programas, de mis aplicativos dentro de la institución, pues eso se va a convertir en un riesgo de seguridad, entonces yo estoy precisamente atentando contra un control de seguridad que es el de derechos de propiedad intelectual. Entonces, mire, esta norma nos va a decir, precisamente, tengo software pero no está licenciado, entonces ahí tengo un riesgo de multas y sanciones con las casas desarrolladoras de estos o con la entidad que en este momento tenga esa potestad de esa revisión, de esa auditoría. Y empezamos a prevenir y a tratar ese riesgo para que no pase no-transcript ese sistema operativo, pues usted lo necesita para su giro del negocio. Entonces no es tan fácil como que venga, desinstalémoslo y ya, eso por darles un ejemplo de cómo, al hacer el inventario de activos, yo puedo darme cuenta de ese tipo de inconvenientes que puedo tener.
Speaker 1:Muy bien, hemos escuchado los beneficios de la aplicación de la experiencia en el ecosistema de esta forma, pero estamos llegando al final. Sin embargo, todo esto no estaría completo sin solicitarles a ambos un espacio para una reflexión final. Vamos a comenzar contigo, jorge. Desde tu experiencia en desarrollo de soluciones para gestión de riesgo y auditoría, ¿qué conclusiones nos dejarías hoy y qué recomendaciones le darías a quienes están evaluando o fortaleciendo su SGSI?
Speaker 2:Bueno, para toda nuestra audiencia de nuestro podcast, que se encuentra en esas etapas, precisamente de realizar evaluaciones o fortaleciendo el sistema de seguridad de la información. Lo primero que recomiendo que tienen que considerar es que es sumamente importante tener una visión que integre estrategia con práctica y, sobre todo, que sea sostenible también con todo el sistema en general. Aquí es cuando mencionamos y remarcamos que la tarea que tienen todas estas personas responsables a su cargo de evaluar y de fortalecer y de robusta hacer todo este entorno del SGSI no es solo un tema de cumplimiento, sino que también tienen que tener una visión holística y construir una entidad que sea resiliente, que sea también consciente de sus riesgos, para que de esta forma también puedan estar preparados de mejor manera a brindar una respuesta a los incidentes y que sea capaz de operar con confianza en un mundo que está cada vez más digital. Eso lo mencionamos también en una de las respuestas que quería hacer un instante donde hacía énfasis en la parte de que tenemos que prepararnos muy bien para medir la efectividad de los controles. Eso quiere decir que un buen sistema SGSI es algo mucho más que controles técnicos y no debemos dejarlos limitados únicamente a componentes como los firewalls o componentes como los antivirus o que pueda quedar en papel, en políticas, sino que es toda una estructura integral basada en riesgos, lo que les va a permitir todas las etapas de identificar, tratar y mejorar la seguridad de la información en el ciclo de vida de los datos. Y de ahí que hagamos esta recomendación, que esto se encuentre idealmente automatizado en un sistema como el que nosotros tenemos, que es el GRC o RM de Monitor Plus. Y también me gustaría decir que el enfoque tiene que ser proporcional. Esta parte proporcional pues tiene que ser así en función del impacto potencial donde puedan verse afectados los pilares de la seguridad de la información, que lo hemos mencionado y los repito ahora también en mi respuesta La confidencialidad, la integridad y la disponibilidad de la información.
Speaker 2:Por qué? Pues, porque esto nos va a permitir que tengamos una mejor asignación de los recursos que tengamos disponibles y también se va a lograr que se haga una gestión de seguridad de una forma mucho más eficaz. De una forma mucho más eficaz Y cierro mi respuesta, mis conclusiones y mis recomendaciones Que, ya sea que el propósito, toda esta gestión está orientada con clientes, con socios, con auditores o por un tema normativo, si un sistema de SGSI es sólido y bien orquestado, entonces estaré enviando un mensaje que toda la organización va a poder interpretar y también los clientes externos van a poder identificar En donde ven que estamos tomando muy en serio todos estos elementos de protección de la información Y con esto se logra fortalecer la reputación de nuestras empresas, de nuestras compañías, ¿verdad? Y también su posición en el mercado y ante la competencia.
Speaker 1:Gracias, Jorge. Muy claro y valioso lo que nos acabas de concluir.
Speaker 3:Bueno, Ileana, tú que acompañas a tantas organizaciones en procesos de certificación y mejora continua, quisiera preguntarte cuáles serían tus conclusiones clave y qué recomendaciones podrías darles a quienes lideran la seguridad de la información en sus instituciones desde mi experiencia, desde mis conocimientos, de haber trabajado, liderado todos estos temas de asesoría a la implementación de estos sistemas de gestión, de auditar, de ser auditora interna, de capacitar al interior de la organización y de poder llevarlos de la mano hasta esa certificación, si lo necesitan. Certificación si lo necesitan. Las recomendaciones que yo haría es uno que tengamos dentro de la agenda empresarial la concientización y capacitación en los temas de seguridad de la información, porque hay que culturizar a los empleados para que se minimicen esos riesgos de seguridad de la información Y no solamente que eso esté en cabeza del oficial de seguridad o el DTI, porque se tiene mucho como que ese concepto no es, que si es seguridad de la información es el proceso de seguridad, no, no es toda la organización que está involucrada, porque hasta en los mismos empleados ellos deben responder al cumpl esos riesgos de seguridad de la información no se mitiguen precisamente a minimizar las posibilidades de que de pronto haya una fuga de información o el mismo desconocimiento pues haga que ellos actúen de una forma incorrecta y puedan pasar muchas cosas dentro de la entidad. Dentro de la entidad Es que uno no dimensiona todo lo que pueda pasar si un empleado abre un correo sospechoso.
Speaker 3:En cambio, si ya tenemos una política de seguridad, si ya le hemos contado a él que, por favor, si llega un correo de seguridad con un asunto malicioso, él pueda tener esa facilidad y pueda saber a quién le debo comunicar esto, para poder minimizar esos riesgos. Eso sería una de las primeras recomendaciones. Es precisamente culturizarnos y velar porque la organización, o que en la organización la seguridad de la información no solamente esté en la cabeza del responsable de seguridad, sino en los líderes, en las personas que están detrás de ese computador, están detrás de ese documento, están detrás de ese activo de información importante en tu mano. Velemos porque dentro de la organización nombremos un responsable de la seguridad o un OSI con las competencias importantes. Igual, cuando llegan estos proyectos, pues desde el principio digamos uno sí, puede trabajar con TI, pero en el transcurso del desarrollo del proyecto, sí, debe haber un oficial de seguridad.
Speaker 3:Debemos tener unos líderes de proceso, debemos formar un comité de seguridad de la información, hacer precisamente que tengamos unas auditorías internas, las revisiones por la dirección y todos ellos pues tienen unas responsabilidades fuertes, ya digamos identificadas, ya relacionadas dentro de un manual de perfiles o dentro de donde lo tengamos. Sí, porque, por ejemplo, las cooperativas financieras generalmente tienen resoluciones y dentro de esas resoluciones dicen mire usted, su seguridad de información tiene que estar liderada por usted, tener un comité de seguridad, debe tener un oficial de seguridad con estas competencias, debe llevar al comité de seguridad todos los resultados de ciertos resultados de riesgos, de procedimientos, de mejoramientos de desempeño de los procesos, de su planeación estratégica, para que todo este grupo interdisciplinario esté enterado y se tomen acciones importantes dentro de la compañía, precisamente para mejorar. Entonces pienso que aquí hay que reflexionar, ¿cierto Reflexionar? qué tenemos actualmente en temas de seguridad, como hablábamos hace un momentico, quiénes son los encargados, y hacer una planeación con estas personas y sobre todo, pues, que haga parte de nuestras planeaciones estratégicas organizacionales, porque precisamente de ahí se deriva la planeación estratégica de seguridad y un objetivo de seguridad, en sus inicios, debe ser minimizar los riesgos de seguridad de la información. Entonces esto sí, les quiero transmitir que no pensemos que eso es un copiar-pegar, porque el vecino, la empresa que está vecina o de un familiar, ya tiene la implementación de la norma.
Speaker 3:Es copiar-pegar?
Speaker 3:No, no, no, porque cada empresa es un mundo diferente, cada empresa tiene sus activos de información diferentes Y es más me atrevo a decir, con la experiencia, de que el riesgo que es crítico en X compañía es bajo en otra compañía.
Speaker 3:Hay empresas que tienen ya controles de seguridad muy maduros, otras que no ni siquiera han empezado por ese control de seguridad.
Speaker 3:Bueno, y ya, juan, para terminar con esa consulta, yo le cuento que, después de que nosotros estemos concientizados, capacitados, que sepamos cuál es nuestra organización interna de seguridad de la información, que contemos con nuestro OSI, con nuestro responsable de seguridad, con los líderes de proceso, con el comité de seguridad de la información o, digamos, por último, solo con el OSI, ya nosotros podemos trazar la ruta de cómo nosotros vamos a hacerle frente a las buenas prácticas, al cumplimiento de las buenas prácticas de seguridad de la información, que están precisamente dentro de la ISO 27001, iso 27002, que es la guía de buenas prácticas para implementar la ISO 27001 y, de hecho, pues, toda la familia de las ISO 27000. Ya, ahora tenemos sistemas de gestión y yo pues siempre digo posteriormente, preocúpese por eso, por el momento, preocúpese porque ya está la norma. Está ahí latente, cierto? donde le dice lo guía. Para que usted haber interactuado en este espacio, espero que esta información les sea de mucha ayuda, les sea muy útil y que tengan un feliz resto de día.
Speaker 1:Muy bien. sin duda nos quedamos con ideas muy prácticas y valiosas. Gracias, liliana. gracias a Jorge por compartir sus conocimientos, pero sobre todo por ayudarnos a entender el SGSI no como un requisito, sino como una herramienta estratégica para prevenir riesgos. Y a todos ustedes que nos escuchan, gracias por acompañarnos en este episodio de Mundo Financiero Seguro, el podcast de Plus T, plus Tip. Recuerden que pueden seguirnos y estar pendientes de los próximos episodios, donde vamos a continuar explorando los desafíos y mejoras prácticas para hacer del sector financiero un entorno más seguro y resiliente. Hasta la próxima Soy Juan José Ríos.