SGSI: Herramienta Clave para la prevención de riesgos
Temporada 6 Episodio 07
Transcripción
Juan José Ríos (Host):
En la era digital, donde la información se ha convertido en uno de los activos más valiosos de las organizaciones, la seguridad ya no puede abordarse únicamente desde una perspectiva técnica o reactiva. El verdadero desafío está en anticipar, evaluar y gestionar los riesgos que pueden afectar la confidencialidad, la integridad y la disponibilidad de los datos.
¿Qué tal? ¿Cómo están? Soy Juan José Ríos. Bienvenidos a Mundo Financiero Seguro, el podcast de Plus TI.
En este espacio exploramos la seguridad de la información desde un enfoque claro, estructurado y estratégico: la gestión de riesgos. Un espacio de reflexión y aprendizaje donde se conectan la teoría, la normativa, la experiencia profesional y los retos reales que enfrentan organizaciones de todos los tamaños y sectores, especialmente en entornos altamente regulados como el financiero.
Nuestro objetivo es aportar claridad, profundidad y valor práctico a profesionales de seguridad, responsables de cumplimiento, directores de tecnología, auditores, gerentes de riesgo y a todos aquellos que deben tomar decisiones sólidas en un entorno digital cada vez más complejo.
Para este episodio me acompañan dos expertos: Liliana Martínez, ingeniera de sistemas, experta en auditoría y sistemas de gestión, con más de 15 años de experiencia como docente y consultora internacional en normas ISO; y Jorge Diéguez, gerente de Producto de Riesgo y Auditoría en Plus TI.
Liliana, Jorge, gracias por acompañarnos.
Hoy comenzaremos abordando uno de los grandes cambios de paradigma que ha transformado la seguridad de la información en los últimos años: ya no basta con implementar controles; ahora se trata de entender los riesgos desde su origen.
Jorge, comienzo contigo. ¿Por qué el enfoque basado en riesgos es más efectivo que los enfoques tradicionales en seguridad de la información?
Jorge Diéguez:
Muchas gracias, Juan José. Un saludo para todas las personas que nos escuchan y un gusto acompañarlos en esta sesión.
El enfoque basado en riesgos se ha convertido, poco a poco, en un pilar fundamental para muchas organizaciones, ya que transforma la seguridad de la información en una herramienta estratégica y proactiva. Esto ocurre principalmente porque permite proteger aquello que realmente importa y hacerlo de forma proporcional, alineada con los objetivos y alcances del negocio.
A diferencia de los enfoques tradicionales —que muchas veces se centran en “cumplir por cumplir” mediante listas genéricas de controles—, el enfoque basado en riesgos permite a las organizaciones gestionar, justificar y mejorar continuamente la protección de la información, sin interrupciones y de una forma mucho más efectiva. ¿Por qué? Porque prioriza los esfuerzos de seguridad.
Estos esfuerzos se orientan en función del impacto real que un incidente podría tener sobre los objetivos del negocio y su operación. Mientras los enfoques tradicionales suelen ser uniformes y reactivos, el enfoque basado en riesgos es estratégico, adaptable y está diseñado para apoyar una toma de decisiones mejor informada.
Quisiera destacar tres aspectos clave de este enfoque.
Jorge Diéguez:
El primer punto es la priorización inteligente. No todos los activos ni todas las amenazas tienen el mismo valor o nivel de criticidad para una organización. El enfoque basado en riesgos nos permite identificar qué debemos proteger primero, cuánto invertir en esa protección y qué controles son realmente necesarios.
Esto también contribuye a una mejor optimización de recursos, un aspecto clave para organizaciones que, en muchos casos, cuentan con presupuestos limitados.
Jorge Diéguez:
El segundo aspecto es la reducción del riesgo residual. Al identificar vulnerabilidades y amenazas específicas, se pueden aplicar controles diseñados para reducir el riesgo a niveles aceptables, dentro del margen de tolerancia de la organización.
Este enfoque no busca eliminar todos los riesgos —algo prácticamente imposible—, sino gestionarlos de forma consciente y proporcional. Para ello, se requiere un proceso bien estructurado que incluya la identificación de activos críticos, la evaluación de amenazas y vulnerabilidades, el análisis de impacto y frecuencia, y la selección adecuada de controles de seguridad. Se trata de un ciclo integral y continuo.
Jorge Diéguez:
El tercer punto es la adaptabilidad. Vivimos en un entorno altamente dinámico: las amenazas evolucionan, los sistemas cambian y la tecnología se transforma constantemente. Factores como la computación en la nube, la inteligencia artificial y el trabajo remoto influyen directamente en este contexto.
El enfoque basado en riesgos es dinámico y revisable, lo que permite adaptarse a los cambios sin necesidad de reconstruir todo el sistema de seguridad. Es una gestión continua que se centra en entender la relación entre los activos críticos, las amenazas emergentes y su impacto.
Gracias a este enfoque, es posible reevaluar constantemente los riesgos frente a escenarios como el uso de servicios SaaS, la adopción de inteligencia artificial o el aumento de amenazas como ransomware y phishing.
Juan José Ríos:
Muy valiosa la información que compartes, Jorge. Esto nos lleva a reflexionar sobre la seguridad como un engranaje transversal en la organización. Ya no puede abordarse únicamente desde el área de TI o cumplimiento.
¿Cómo deben integrarse los riesgos de seguridad de la información en la gestión general de riesgos corporativos?
Jorge Diéguez:
La integración de los riesgos de seguridad de la información en la gestión de riesgos corporativos es fundamental para lograr una visión holística, coherente y eficaz de la exposición al riesgo de la organización.
En un entorno cada vez más digital, estos riesgos ya no son exclusivamente técnicos; forman parte de los riesgos estratégicos, operativos y normativos que influyen directamente en la toma de decisiones.
Para lograr una integración real, los riesgos de seguridad deben vincularse con los objetivos del negocio, los procesos y los activos críticos. Una afectación a la confidencialidad, integridad o disponibilidad de la información puede impactar directamente en la continuidad operativa, el cumplimiento normativo y la reputación de la organización.
Esto también implica traducir los riesgos técnicos a un lenguaje comprensible para la alta dirección, explicando su posible impacto financiero, legal y reputacional si no se gestionan adecuadamente.
Es importante definir criterios unificados para medir y comparar los riesgos, utilizando escalas comunes de probabilidad e impacto, e incorporar los riesgos tecnológicos dentro del apetito de riesgo corporativo. De esta manera, se establecen umbrales claros de tolerancia.
Además, la gestión de estos riesgos debe contar con responsables asignados dentro del área de riesgos corporativos, permitiendo a la alta dirección recibir reportes periódicos con indicadores clave como KRIs, KPIs y la evolución de amenazas.
Finalmente, los riesgos tecnológicos deben reflejarse en el mapa de riesgos de la organización y, cuando su impacto lo amerite, formar parte de los riesgos más críticos del negocio. Esto fortalece la resiliencia organizacional y permite anticiparse a escenarios adversos en un entorno digital cada vez más complejo.
Juan José Ríos
Bueno, mencionaste la integración, y ahora entendemos que es clave para que el SGSI no se convierta únicamente en un documento de cumplimiento, sino en una herramienta real de gestión.
Y siguiendo esta línea de realidades, cada cierto tiempo el mundo empresarial se ve sacudido por incidentes de ciberseguridad que dejan importantes lecciones.
En ese sentido, Jorge, ¿qué hemos aprendido de los grandes incidentes de ciberseguridad recientes en materia de gestión de riesgos?
Jorge Diéguez:
Hay varios aspectos relevantes que podemos destacar. Para responder, voy a tomar como referencia un informe reciente publicado por IBM, específicamente su Índice de Inteligencia de Amenazas.
Este reporte revela que América Latina representa aproximadamente el 8 % de los incidentes de ciberseguridad reportados a nivel mundial.
Uno de los puntos más llamativos del informe es que los ciberdelincuentes están adoptando tácticas cada vez más discretas, especialmente para el robo de credenciales y para ataques de tipo ransomware, los cuales han tenido un repunte significativo en la región, desde México y Centroamérica hasta Sudamérica.
Por ejemplo, se conocieron casos como el del Banco de Brasil, donde el ataque estuvo dirigido a empleados de la institución, lo que permitió a los atacantes acceder a bases de datos internas. Como consecuencia, se produjo el robo de información personal y financiera de más de dos millones de clientes, datos que luego fueron utilizados para cometer delitos financieros que generaron pérdidas cercanas a los 40 millones de reales, equivalentes a unos siete millones de dólares. Esto demuestra el impacto real que puede tener no atender adecuadamente las medidas de control.
Otro caso similar ocurrió con Bank of America, que en febrero de 2024 sufrió una falla de seguridad que derivó en la exposición de datos personales y financieros de más de 57,000 clientes.
Estos incidentes refuerzan la importancia de una gestión adecuada de los riesgos de seguridad de la información, incluyendo aquellos asociados a proveedores, un frente que no debe descuidarse.
Todas estas situaciones nos dejan lecciones profundas sobre cómo se está gestionando —o no— el riesgo en entornos digitales complejos. No solo evidencian vulnerabilidades técnicas, sino también fallas estructurales en la forma en que muchas organizaciones entienden y aplican la gestión de riesgos.
Esto confirma que la gestión de riesgos no puede ser una actividad estática ni burocrática.
Un error muy común es tratar la evaluación de riesgos como un documento que se actualiza una vez al año. Los incidentes recientes nos demuestran que las amenazas evolucionan mucho más rápido que los ciclos tradicionales de evaluación y que los entornos tecnológicos son altamente dinámicos. No basta con asumir que los controles existentes son suficientes; basta una pequeña brecha para que ocurra un incidente.
Otro aspecto clave es la capacidad de recuperación. En muchos casos, lo que agrava el impacto no es el ataque inicial, sino la falta de preparación para responder y recuperarse. La ausencia de planes de contingencia, planes de respuesta a incidentes, simulacros o pruebas, así como fallas en la comunicación interna y externa, incrementan significativamente el daño.
Por ello, es fundamental que las políticas y controles de seguridad sean evaluados mediante pruebas de recuperación. Solo así se puede medir su efectividad. Esto refuerza la necesidad de que la gestión de riesgos incluya no solo prevención, sino también preparación, respuesta y resiliencia.
Juan José Ríos:
Gracias, Jorge. Muy interesante todo lo que compartes.
Ahora se suma a la conversación Liliana Martínez, desde Colombia. Liliana cuenta con una amplia trayectoria trabajando con normas, estándares y buenas prácticas, y tiene una visión muy aplicada de cómo estas herramientas funcionan en la realidad organizacional.
Liliana, desde tu experiencia, ¿cuáles son las tendencias actuales que las organizaciones deben considerar para proteger su información y sus datos?
Liliana Martínez:
Gracias, Juan. Efectivamente, uno de los pilares fundamentales para las organizaciones sigue siendo la norma ISO/IEC 27001, el estándar internacional para la gestión de la seguridad de la información.
Este estándar permite garantizar que se cuenten con los requisitos y controles necesarios para mitigar los riesgos que afectan a los activos de información más importantes de la organización.
Es importante aclarar que la ISO 27001 es la norma certificable y que se complementa con la ISO 27002, la cual actúa como una guía de buenas prácticas para la implementación efectiva del sistema de gestión.
Muchas organizaciones adoptan estas normas por obligatoriedad normativa, pero lo más valioso es cuando se implementan de forma voluntaria, con un enfoque preventivo y no correctivo.
Los sistemas de gestión nos invitan a trabajar por procesos, a medir su desempeño y a proporcionar a la alta dirección información confiable para la toma de decisiones.
Cuando una organización decide implementar un sistema de gestión, existe un proceso de concientización y formación que permite articular múltiples elementos: desde la planeación estratégica organizacional hasta la planeación estratégica de la seguridad de la información, la gestión del riesgo, la documentación de procesos, las mediciones y las revisiones periódicas del sistema.
Otro punto relevante es la versión 2022 de la ISO 27001. Actualmente contamos con 93 controles de seguridad, frente a los 114 de la versión 2013. No se trata de una reducción, sino de una integración y evolución de los controles, además de la incorporación de nuevos enfoques orientados a la prevención y al monitoreo continuo de los activos críticos.
El rol de la alta dirección es fundamental. Cuando la máxima autoridad de la organización comprende que la seguridad de la información genera beneficios reales, el camino se facilita enormemente. La prevención siempre será más rentable que la corrección, y conocer, clasificar y proteger los activos de información permite reducir pérdidas económicas y riesgos operativos.
La seguridad de la información abarca tanto lo físico como lo digital. No se limita únicamente a sistemas informáticos. Por ejemplo, un documento físico que contenga información sensible también debe ser protegido.
Esto se conecta directamente con las leyes de protección de datos personales, donde ya no solo se analiza el soporte, sino el tipo de información que contiene y su nivel de sensibilidad.
En la versión actual de la norma, los controles se agrupan en cuatro grandes dominios: tecnológicos, de personas, físicos y organizacionales. Esto refuerza la idea de que las amenazas no solo provienen de la tecnología, sino también del factor humano y de terceros, como los proveedores.
Por ello, se vuelve indispensable establecer políticas de seguridad, programas de concientización y controles relacionados con el teletrabajo, el control de accesos, la criptografía, la seguridad física, la seguridad de las operaciones y la gestión de incidentes.
El enfoque por procesos es clave. Contar con procedimientos documentados asegura que las actividades se realicen de forma consistente y que el personal, incluso el nuevo, tenga claridad sobre sus responsabilidades.
Asimismo, temas como la seguridad en las comunicaciones, el desarrollo de software, la gestión de proveedores y el cumplimiento legal —incluyendo protección de datos y derechos de propiedad intelectual— adquieren un peso cada vez mayor.
Finalmente, implementar estos controles permite articular a toda la organización bajo una cultura de seguridad, desde la alta dirección hasta el último nivel operativo. Esto fortalece la prevención, el conocimiento de los activos de información y la toma de decisiones informadas para mitigar los riesgos de manera efectiva.
Aquí es importante recordar que los sistemas de gestión se desarrollan bajo el ciclo PHVA: Planear, Hacer, Verificar y Actuar.
Algunas organizaciones consideran que con solo realizar la planificación ya cuentan con un sistema de gestión, pero esto no es así. Tanto para cumplir con el requisito de auditoría interna de la norma, como para aquellas empresas que buscan una certificación, es indispensable completar correctamente todas las etapas del ciclo.
Solo después de cumplirlas al 100 %, el ente certificador puede validar que la organización no solo implementó el sistema de gestión bajo los criterios del estándar internacional ISO 27001, sino que además lo mantiene y lo mejora continuamente.
Para darles una idea más clara, durante la etapa de planificación —que en ISO 27001 corresponde a los requisitos del 4 al 7— se trabaja el contexto de la organización, las partes interesadas y todo el proceso de gestión de riesgos, de acuerdo con la metodología que cada organización defina.
Posteriormente viene la fase de “hacer”, que consiste en demostrar la operación del sistema, es decir, ejecutar todo lo que se planificó.
Luego pasamos a la etapa de “verificar”, donde se incluye la revisión por la alta dirección, el seguimiento mediante indicadores y la auditoría interna, que nos permite identificar oportunidades de mejora.
Finalmente, está la etapa de “actuar”, correspondiente al requisito 10 de la norma. Aquí se establecen las acciones correctivas y de mejora, especialmente frente a errores, inconsistencias o no conformidades detectadas durante las auditorías. Este paso es clave para fortalecer lo que ya se tiene implementado.
Por eso, esta pregunta es muy valiosa, Juan, porque permite que las organizaciones comprendan que sí existe una ruta clara para trabajar adecuadamente la seguridad de la información y la protección de datos.
Juan José Ríos:
Gracias, Liliana. Entendemos entonces que estas tendencias nos marcan una hoja de ruta clara para muchas organizaciones. Sin embargo, en la práctica, uno de los mayores desafíos es saber por dónde empezar, especialmente cuando existen limitaciones de recursos o de conocimiento interno.
Ahora, en ese contexto…
Liliana Martínez:
En ese contexto, Juan, la norma realmente nos lleva de la mano. Si una organización nunca ha tenido un sistema de gestión, es fundamental que inicie con el estándar, porque este le indica paso a paso qué debe hacer.
Además, hoy contamos con normas específicas que explican cómo abordar la gestión de riesgos y el cumplimiento. Y aquí me gustaría darle la palabra a Jorge para que nos ayude a responder una pregunta clave: ¿cómo lograr el éxito en la implementación?
Jorge Diéguez:
Gracias, Liliana. En cuanto a la implementación de un sistema de gestión de seguridad de la información, ya sea bajo la versión 2013 o la versión 2022 de la ISO 27001, es fundamental contar con la participación de la alta dirección.
Uno de los errores más comunes es pensar que la seguridad de la información es un proyecto exclusivo del área de TI. Esto suele llevar al fracaso, porque los objetivos no se alcanzan. La implementación debe ser un esfuerzo transversal, en el que participe toda la organización.
Otro punto clave es el desarrollo de una cultura de seguridad de la información. No podemos esperar que las personas adopten el sistema únicamente a través de un correo electrónico. Es necesario realizar actividades de capacitación y concientización que expliquen claramente la importancia de la seguridad de la información en toda la compañía.
El principal factor de éxito es el compromiso de la alta dirección, su apoyo constante y la asignación de los recursos necesarios. Pero, sobre todo, que la seguridad de la información se convierta en parte de la cultura organizacional y del día a día de las personas.
Juan José Ríos:
Excelente. Y retomando este tema de la cultura de seguridad, Liliana, ¿cómo podemos mantenerla viva, relevante y atractiva para que los profesionales que nos escuchan puedan replicarla en sus equipos?
Liliana Martínez:
Juan, es fundamental entender que la norma nos invita a concientizar, no simplemente a informar. No se trata de enviar un correo con una imagen, sino de generar valor para el colaborador que ejecuta su labor diaria.
Las capacitaciones deben ser periódicas, no solo durante la implementación del sistema. Los riesgos cambian, los controles evolucionan y el personal también. Por eso, la formación debe ser continua, idealmente al menos una vez al mes.
Es importante hacer las actividades dinámicas: ejercicios prácticos, simulaciones, concursos, incluso experiencias diferentes que permitan entender qué ocurre ante un phishing o un ataque de ransomware.
Cuando las personas se sienten identificadas con los riesgos reales, comprenden mejor la importancia de proteger los activos de información y su propio rol dentro de la organización.
Un aspecto clave es que el colaborador entienda cómo la pérdida de un activo de información afecta directamente su trabajo y sus responsabilidades. Cuando se comprende el impacto real, la sensibilización es mucho más efectiva.
Concientizar es dar sentido a las acciones: explicar por qué se debe bloquear el equipo, no dejar documentos a la vista o no compartir contraseñas. Cuando se explica el “por qué”, la cultura de seguridad se mantiene viva dentro de la organización.
Juan José Ríos:
Fantástico. Sin duda, cuando entendemos el porqué de las cosas, la disposición a cumplirlas aumenta.
Para ir cerrando este episodio, quisiera pedirles un mensaje final para nuestra audiencia. Liliana, adelante.
Liliana Martínez:
Gracias, Juan. Hoy muchas organizaciones ya cuentan con sistemas de gestión de calidad, antisoborno o ambientales. Lo que falta, en muchos casos, es integrar la seguridad de la información como ese engranaje central.
El Sistema de Gestión de Seguridad de la Información permite articular la calidad, el cumplimiento, el antisoborno y la continuidad del negocio. Esa integración es la clave para que una organización sea sostenible, perdurable y proteja adecuadamente sus activos de información.
Mi invitación es clara: hagámoslo. La norma existe, la ruta está definida. No importa si la organización es grande o pequeña, ni si el presupuesto es limitado; el estándar ayuda a optimizar los recursos y a trabajar de forma más inteligente.
Implementar ISO 27001 significa adoptar buenas prácticas, fortalecer el cumplimiento y garantizar una adecuada protección de los activos de información.
Juan José Ríos:
Gracias, Liliana. Jorge, tu mensaje final.
Jorge Diéguez:
Para cerrar, quisiera recordar que la seguridad de la información y la gestión de riesgos no son una simple lista de controles, sino una parte esencial de la estrategia del negocio.
Un sistema de gestión bien implementado permite que la organización sea más resiliente, adaptable al cambio y eficiente en el uso de sus recursos.
El enfoque basado en riesgos se convierte en un verdadero diferenciador estratégico y en un factor de confianza para clientes y aliados.
Finalmente, los invito a integrar tecnología, normativa y conocimiento. La tecnología nos permite automatizar procesos, la normativa nos marca la ruta, y el conocimiento lo adquirimos a través de espacios como Mundo Financiero Seguro.
Gracias por acompañarnos.
Juan José Ríos:
Sin duda, nos llevamos ideas muy prácticas y valiosas. Gracias, Liliana, gracias, Jorge, por ayudarnos a entender el SGSI no como un requisito, sino como una herramienta estratégica para la prevención de riesgos.
Y a todos ustedes que nos escuchan, gracias por acompañarnos en este episodio de Mundo Financiero Seguro, el podcast de Plus TI.
