Artículo opción de grado plan coterminal Nelson Buitrago V2

Vista previa del material en texto

1 
 
Resumen – Actualmente, con el avance 
acelerado de la tecnología, surge la proliferación 
de nuevos modelos de negocio y junto con estos, 
diariamente surgen distintos tipos de amenazas que 
afectan la integridad, disponibilidad y 
confidencialidad de la información, que 
mayormente se almacena en forma de datos, para 
mitigar estas amenazas, es importante la 
integración de un gobierno de TI en las 
organizaciones desde el ámbito de seguridad, pues 
normalmente esta responsabilidad recae 
directamente en el área de TI o Seguridad de la 
información, esta integración se debe trabajar de 
manera articulada en las distintas áreas de la 
organización con el fin de generar y lograr un plan 
de seguridad exitoso. 
 
Abstract - Nowadays, with the fast technology 
advance, the proliferation of new business models 
arises and along with these, different types of 
threats are created daily affecting the integrity, 
availability and confidentiality of information, 
which is mostly stored in form of data, to mitigate 
these threats, it is important to integrate IT 
governance in organizations from the security field, 
normally this responsibility falls directly on the IT 
or Information Security area, this integration must 
be worked in an articulated way from the different 
organization departaments in order to generate and 
achieve a successful security plan. 
 
 
 
Índice de Términos – Gobierno, TI, seguridad, 
información. 
 
 
 
I. INTRODUCCIÓN 
Para muchas organizaciones hoy en día, el 
activo más importante es la información, ya 
que, en comparación a los negocios 
tradicionales, el acceso a la información, los 
sistemas y la tecnología, son fundamentales 
para el desarrollo de sus negocios, pues para 
grandes corporaciones, cómo Facebook, 
Google, Amazon etc. La información (datos) es 
como tal el negocio, motivo por el cuál, es 
importante proteger dicho activo y contar con la 
integración y participación de todos los 
miembros de la organización y no sólo delegar 
esta responsabilidad al área de TI o seguridad 
de la información. 
 
 
II. DESARROLLO 
 
Como se mencionaba, hoy en día, la 
información es uno de los recursos más 
importantes que se tienen actualmente, pues ya 
no sólo se encuentra en estado físico como bien 
se conoce, sino que la podemos encontrar de 
manera digital, en la cual muchas 
organizaciones concentran sus negocios, por 
ello, es importante dar el cuidado necesario a la 
misma, tarea que debe ser orquestada por la alta 
dirección, ya que no es una labor para el área de 
Tecnología de la Información, como se maneja 
normalmente, sino que es un tema transversal; 
razón por la cual, se debe tener en cuenta el 
gobierno de seguridad de la información, que 
Importancia del gobierno de TI en las 
organizaciones 
Nelson Esteban Buitrago Quintero 
Universidad Piloto de Colombia 
 2 
sirve para integrar los procesos y las áreas de 
manera estratégica, para que estos estén 
alineados con los objetivos de la organización, 
comprobando que los riesgos son gestionados 
apropiadamente y para verificar que los 
recursos son usados de manera correcta. 
 
Es muy importante que se realice la 
integración mencionada, ya que, si cada área 
trabaja de manera independiente, se pueden 
generar brechas de seguridad, pues cada área se 
enfoca en salvaguardar sus activos, dejando a 
un lado los demás, situación que ocurre a 
menudo en las organizaciones, en las cuales se 
enfocan en adquirir lo más reciente en 
tecnología, pero no en tener el personal 
capacitado, como lo demuestran los estudios 
realizados por distintas empresas, uno de ellos 
es el realizado por Kasperski Lab [1], en el cual 
se demostró que casi el 50 % de los ataques de 
ciberseguridad se han dado por factor humano, 
ya sea por descuidos o por desconocimiento en 
seguridad informática, ya que cuando sufren 
ataques de seguridad, no saben cómo se debe 
actuar o cómo se deben reportar y de igual 
manera no son conscientes de las buenas 
prácticas de seguridad y de que el riesgo es 
latente no sólo dentro, sino también fuera de la 
organización. 
 
 
El aspecto más importante en el que se debe 
trabajar es en precisamente en la cultura, pues 
no es de mucha utilidad tener las mejores 
herramientas tecnológicas, o tener la solución 
tecnológica más avanzada de seguridad, como 
Firewalls, sistemas de prevención y detección 
de intrusos, anti virus, sistemas de protección de 
datos entre otros, si estas no se trabajan en 
conjunto con las áreas involucradas, en conjunto 
con la capacitación de personal de la 
organización y también en generar buenas 
prácticas de seguridad, pues ya sea por 
desconocimiento o descuido, es bien sabido, 
que “el eslabón más débil de la cadena de 
seguridad es el usuario”. De acuerdo con las 
cifras de los ataques de seguridad como en el 
artículo de Welivesecurity de la compañía 
ESET [2], se indica que los ataques de 
ingeniería social se habían duplicado en 2020 
con respecto al año anterior, y que Colombia es 
el quinto país que más ataques sufre después de 
Perú, Brasil, México y Ecuador; por lo que es 
vital mitigar el riesgo de este tipo de ataques, 
mediante campañas de concienciación y 
sensibilización en seguridad para todo el 
personal, ya que si todos son conscientes de los 
riesgos a los que exponen las organizaciones, 
tendrán más precaución, lo que ayuda a 
fortalecer los objetivos de seguridad de la 
información. 
 
 
Para ayudar a lograr estos objetivos en los 
aspectos mencionados anteriormente, es de 
suma importancia establecer políticas y 
lineamientos de seguridad, donde se establezcan 
buenas prácticas, controles y procedimientos 
basados en los estándares y normas, para 
garantizar el mínimo riesgo que pueda afectar 
los pilares de la información (confidencialidad, 
integridad y disponibilidad), y que estos vayan 
siempre alineados con la estrategia del negocio. 
 
 
Cada vez es más crucial que el área de 
ciberseguridad, forme parte del gobierno 
corporativo, pues de acuerdo al estudio de 
ESET, los atacantes son implacables y se 
aprovechan de cualquier brecha de seguridad 
que pueda quedar a flote, y es importante que se 
cuente con la participación de cada una de las 
personas que formamos parte de las 
organizaciones, que todos estemos 
comprometidos, desde la alta dirección, hasta el 
personal operativo, ya que si todos trabajamos 
de la mano, estamos alineados, se cumplen las 
políticas de seguridad rigurosamente y se hace 
seguimiento y retroalimentación continua, se 
pueden lograr resultados muy satisfactorios. 
 
 
 3 
Es importante que las acciones realizadas 
para el desarrollo del plan de seguridad de la 
información estén alineadas en todos los niveles 
de la organización, pues todos tienen un rol 
activo y deben contribuir para garantizar que el 
gobierno de TI esté alineado con los objetivos 
del negocio. 
 
 
Desde la alta dirección, se debe generar y dar 
a conocer la pauta para mostrar la importancia 
de la seguridad en todas las áreas de la 
organización y mostrar porqué debe ser 
implementada la gobernanza de TI, para realizar 
esto, es necesario establecer políticas donde se 
identifiquen los roles y responsabilidades de la 
organización, las cuales deben ser comunicadas 
a todos los empleados y también se deben 
realizar mediciones, para determinar el estado 
actual y las posibles brechas de seguridad, estas 
mediciones se deben realizar de manera 
periódica para detectar nuevas brechas y poder 
actuar rápidamente , de acuerdo a los resultados, 
es de suma importancia que después de realizar 
el ejercicio, se realicen campañas de 
concienciación, capacitación y educación para 
que se refuercen las buenas prácticas de 
seguridad y se puedan lograr los objetivo. 
 
Para que un programa de seguridadsea 
exitoso, como se menciona en Information 
Security Governance Guidance for Boards of 
Directors and Executive Management [3], hay 
una serie de preguntas que debe ser formuladas 
desde tres frentes diferentes, el primero es, 
formular preguntas con el fin de descubrir los 
problemas de seguridad de la información, una 
vez se dé respuesta, el segundo es formular 
preguntas para determinar cómo la alta 
dirección aborda los problemas identificados en 
el primer frente, una vez se den estas respuestas, 
el tercero es formular preguntas para hacer una 
autoevaluación de las prácticas de gobierno de 
seguridad, con el fin de hacer una 
retroalimentación de las mismas y reforzar estas 
prácticas. 
 
 
Para lograr el éxito de los objetivos, COBIT 
[4] sugiere cinco resultados básicos, reduciendo 
los impactos a un nivel aceptable. El primero de 
ellos es la alineación estratégica, la cual trata de 
siempre trabajar en función de los objetivos de 
la organización. El segundo es la gestión de 
riesgos el cuál es uno de los más importantes 
que se deben tener, pues a través de este se 
logra lo que se mencionaba anteriormente que 
es el objetivo clave de seguridad de la 
información que es reducir los impactos a un 
nivel aceptable. El tercero es la gestión de 
recursos, el cual consiste en conocer los activos 
de la organización, y darle un uso eficiente y 
efectivo. El cuarto es la medida del desempeño, 
que garantiza a que se cumplan los objetivos 
organizacionales. El quinto y último es la 
entrega de valor, que es la retroalimentación de 
los resultados y de cómo se muestra la 
importancia de los procesos de gobierno de 
seguridad de la información. 
 
 
Las iteraciones de los procesos que se 
plantean en el gobierno de seguridad 
evolucionan y se adaptan a medida que pasa el 
tiempo, apuntando siempre a la mejora 
continua, por lo que se podría afirmar, que estos 
procesos no tienen fin, pues siempre se estará 
retroalimentando y aportando nuevas 
actividades. Las organizaciones que no tengan 
en cuenta estos procesos comenzaran a 
encontrarse en desventaja, ya que pueden llegar 
a ser atacadas por ciberdelincuentes, pues ellos 
lograrán evidenciar la falta de controles y 
políticas en estas organizaciones que van 
relacionadas directamente a la falta de una 
implementación correcta de un gobierno de TI. 
La alta dirección debe ser consciente que la 
ausencia de controles y políticas de seguridad 
constituye un riesgo que se ve reflejado en 
costos y que, de no remediarlos, se expone a 
una exposición y pérdidas financieras mayores, 
como se indica en la investigación realizada por 
 4 
Aberdeen Group [5], la cual indica que las 
pérdidas ocasionadas por una seguridad 
ineficaz, se pueden reducir hasta en un 90 % 
mediante la implementación de prácticas de 
seguridad conocidas y de uso común, lo que 
debe generar una gestión responsable de 
seguridad en la organización. 
 
III. CONCLUSIÓN 
 
Para que un gobierno de TI sea exitoso, se 
deben integrar todas las áreas de la organización 
guiadas por la alta dirección, alineando los 
objetivos estratégicos del negocio, haciendo una 
correcta gestión de riesgos, una optima gestión 
de los recursos, haciendo mediciones repetitivas 
del rendimiento de los procesos y controles de 
seguridad y generando entrega de valor 
asegurando el cumplimiento de las normas 
regulatorias y adoptando las recomendaciones 
establecidas en los estándares, normas y buenas 
prácticas de seguridad de la información. 
 
 
IV. RECONOCIMIENTO 
 
Agradezco la inspiración de esta temática, 
para el desarrollo del documento, a la docente 
Sandra Lorena Ocampo Correa, que a través de 
sus clases me brindó el conocimiento y 
herramientas principales, en gobierno de TI, el 
cuál era nuevo para mí, pues no había tenido la 
oportunidad de ahondar en este tema de tanta 
importancia para el desarrollo profesional, pues 
es aplicable en cualquier organización. 
 
V. REFERENCIAS 
 
 
[1] Kaspersky Lab. (2017, Nov). THE HUMAN FACTOR IN 
IT SECURITY [Online]. Available: 
https://media.kasperskycontenthub.com/wp-
content/uploads/sites/100/2017/11/10083900/20170710_Rep
ort_Human-Factor-In-ITSec_eng_final.pdf 
 
[2] L. Lubeck. Eset (2021, Jan 7). En 2020 se duplicaron las 
detecciones de ataques de ingeniería social [Online]. 
Available: https://www.welivesecurity.com/la-
es/2021/01/07/2020-duplico-detecciones-ataques-ingenieria-
social/ 
 
[3] IT Governance Institute "Information Security Governance 
Guidance for Boards of Directors and Executive 
Management", 2nd Edition, pp. 49, 2006 
 
[4] IT Governance Institute “COBIT Security Baseline” US, 
2004 
 
[5] Aberdeen Group, “Best Practices in Security 
Governance”, USA, 2005 
 
 
 
 
VI. BIOGRAFÍA 
 
Buitrago Quintero Nelson 
Esteban: Ingeniero en 
Telecomunicaciones 
graduado de la Universidad 
Militar Nueva Granada en 
el año 2013, ejerciendo en 
el área de la seguridad, con 
distintas certificaciones 
como ISO 27001, ITIL 4, 
Checkpoint Certified Security Expert, 
diplomado en gerencia de proyectos y 
actualmente realizando posgrado en Seguridad 
informática en la prestigiosa Universidad Piloto 
de Colombia. 
https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2017/11/10083900/20170710_Report_Human-Factor-In-ITSec_eng_final.pdf
https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2017/11/10083900/20170710_Report_Human-Factor-In-ITSec_eng_final.pdf
https://media.kasperskycontenthub.com/wp-content/uploads/sites/100/2017/11/10083900/20170710_Report_Human-Factor-In-ITSec_eng_final.pdf
https://www.welivesecurity.com/la-es/2021/01/07/2020-duplico-detecciones-ataques-ingenieria-social/
https://www.welivesecurity.com/la-es/2021/01/07/2020-duplico-detecciones-ataques-ingenieria-social/
https://www.welivesecurity.com/la-es/2021/01/07/2020-duplico-detecciones-ataques-ingenieria-social/