Los 5 retos en

GUÍA PRÁCTICA
gestión para el
responsable de
seguridad de la
información
© 2021 GlobalSuite Solutions. All rights reserved.
 Índice

01. Introducción 4

02. Cinco retos del Responsable de Seguridad de la Información 4

2.1 Gestión del cumplimiento 5

2.2 Gestión de riesgos de seguridad de la información 6

2.3 Integración de la gestión de incidentes en la gestión de riesgos 6

2.4 Medición del desempeño 7

2.5 Reporting 8
03. Conclusiones 9

© 2021 GlobalSuite Solutions. All rights reserved. 3

01. Introducción.

Vamos a enfocar Como lo indica un reciente están entre los principales

las claves más artículo publicado por ISACA1 factores que hacen que los
el trabajo de un Responsable CISOs abandonen el trabajo.
importantes que
o Director de seguridad de la Subrayando el grado de
tienen que información (conocido en dificultad para los CISO en
abordar los CISOs idioma inglés como CISO – esta era de crecientes
en su día a día y Chief Information Security amenazas cibernéticas, un
cómo ayuda un Officer) “es notoriamente estudio muestra que el 90 por
software de agotador. Los responsables de ciento de los CISO estarían
seguridad de la información a dispuestos a aceptar un
gestión en estas
menudo sólo permanecen en recorte salarial a cambio de
tareas. sus funciones durante uno o mejorar el equilibrio entre su
dos años. Los altos niveles de vida laboral y personal”.
estrés y expectativas
organizativas poco realistas

Cuando se establece como propósito identificar los retos o

desafíos del responsable de seguridad de la información en
una empresa, la respuesta puede ser tan sencilla o
compleja como se quiera ver:

Respuesta sencilla: “MUCHOS” o, inclusive, “TODO”. En un

ambiente organizacional complejo, diverso y volátil como el
actual, conviven retos de diversa índole que inician desde el
mismo apoyo por parte de la alta dirección y pasan por
componentes técnicos, operativos, administrativos, de
gestión o de educación y, por qué no, hasta de experiencia
profesional.

Respuesta compleja: Cada componente mencionado

anteriormente puede ser desglosado para identificar en su
interior cuáles son los principales retos y cómo abordarlos.
Esto, por supuesto, requiere navegar por cada componente
de manera genérica o particular, inclusive por tipo de
industria (financiera, tecnológica, producción, etc.) o región
geográfica.

1 Understanding and Addressing CISO Burnout, ISACA, 18 de Noviembre de 2.020

© 2021 GlobalSuite Solutions. All rights reserved. 4

02. Cinco retos del Responsable de
Seguridad de la Información

Este documento se centra particularmente problemática.

en los principales retos a los que se enfrenta
el responsable de seguridad de la
2.1 Gestión del cumplimiento
información de una empresa desde el
Situación encontrada: uno de nuestros
punto de vista del componente de gestión,
clientes adquiere el módulo GlobalSuite
entendiendo este como conducir una
Information Security para definir, implementar
situación problemática2 utilizando de
y monitorear su Sistema de Gestión de
manera óptima los recursos que se poseen
Seguridad de la Información (SGSI). Al iniciar
con el fin de alcanzar los objetivos y obtener
la capacitación de este módulo se muestran
los mejores resultados posibles. También se
las opciones relacionadas con análisis de
plantea para cada reto, identificado a partir
brecha y cumplimiento normativo frente a la
de ejemplos extraídos de la vida real en
norma ISO 27001. En ese instante, el cliente
nuestra amplia experiencia en consultoría y
informa que el año anterior había contratado
proyectos, respuestas por parte nuestra.
una consultoría para realizar un análisis de
brecha frente a la norma ISO 27001 y que
A continuación, se identifican los cinco retos
producto de dicha consultoría, la cual tardó
principales en gestión para el responsable de
cerca de 3 meses, el proveedor entregó un
seguridad en una organización. En cada caso
documento en Word con cerca de 200
se identifica inicialmente la problemática
páginas con el resultado del análisis de
encontrada, el reto planteado al responsable
brecha inicial y los planes de remediación
de seguridad y por último cómo a través de
correspondientes a aquellos controles o
GlobaSUITE Solutions se aborda una
requisitos con algún incumplimiento..
respuesta eficaz para resolver cada

© 2021 GlobalSuite Solutions. All rights reserved. 5

El cliente pregunta si es posible en GlobalSuite registrar ese resultado inicial
y hacer posteriores revisiones sobre avance en el cumplimiento de esta
norma. En otros casos, hemos encontrado clientes que incorporan en su
modelo de seguridad de la información otras normativas como NIST
Cibersecurity Framework, PCI o regulaciones locales de ciberseguridad y
sobre las cuales se requiere ir trabajando progresivamente para mejorar la
postura de seguridad de la empresa e ir mostrando avances a las
diferentes partes interesadas.

Reto para el Responsable de Seguridad de seguimiento sobre actividades

la Información desarrolladas.
Gestionar de manera integral y oportuna las • Asociación de controles de seguridad
diversas normativas de seguridad que debe existentes en el modelo de seguridad de la
cumplir la empresa. empresa a diversas normativas (NIST CSF,
ISO27001, PCI)
Solución • Definición, asignación de
A través de las opciones de Gap Analysis, responsabilidades y seguimiento de planes
Planes de adecuación y Compliance se de adecuación para el cierre de la brecha
pueden realizar las siguientes actividades: identificada
• Identificación del estado actual de cada • Diligenciamiento y seguimiento del estado
control / requisito de las diversas de cumplimiento a través de encuestas
normativas de seguridad de la que, inclusive a través de un workflow,
información, asociación de evidencias permiten involucrar diversos roles
(documentos o imágenes) que soportan el organizacionales
estado actual de cumplimiento del control • Análisis comparativo de la evolución /
/ requisito, asociación con tickets que involución en la gestión de cumplimiento
permiten ir registrando y hacer mediante gráficos

© 2021 GlobalSuite Solutions. All rights reserved. 6

2.2 Gestión de Situación encontrada el mismo propósito, pero
riesgos de Diversos estudios como los con formulación diferente
realizados por Global Risks (p. ej. para realizar el
seguridad de la
Report o las Big Four ubican a análisis de riesgos en los
información los riesgos de seguridad de la diferentes procesos de la
información y ciberseguridad empresa).
dentro de los riesgos de • Duplicidad en la
mayor preocupación y más nomenclatura de
críticos a los cuales se ve amenazas,
expuesta una organización. Es vulnerabilidades y
frecuente encontrar clientes controles
que utilizan Excel para realizar • Dificultad al momento de
su proceso de análisis y consolidar la información e
gestión de riesgos de intentar obtener un mapa
seguridad de la información de riesgos de la empresa
en los cuales hemos • Dificultad para reevaluar
identificado problemas como los riesgos de seguridad a
los siguientes: intervalos planificados
porque prácticamente hay
• Multiplicidad de hojas de que volver a iniciar el
Excel, inclusive algunas con ejercicio

© 2021 GlobalSuite Solutions. All rights reserved. 7

Reto para el Responsable de • Estandarización de sobre las acciones
Seguridad de la Información catálogo de amenazas y realizadas
controles para seguridad • Reevaluación sencilla de
Llevar a cabo un proceso de la información. los riesgos a intervalos
holístico de gestión de • Metodología planificados y generación
riesgos de seguridad automatizada de riesgos y de históricos para ir
controles que permite monitoreando la evolución
Solución determinar el riesgo / involución en la gestión
GlobalSUITE® provee residual de cada de riesgos
funcionalidad escenario de riesgo a • Alertas vía email a los
completamente alineada a partir del conjunto de diversos responsables
mejores prácticas en gestión controles que mitigue sobre la asignación de
de riesgos como la norma cada amenaza de planes de tratamiento de
ISO31000. Adicionalmente acuerdo a la efectividad riesgos o actividades
facilita las labores de gestión de cada control existente. específicas de un plan de
de riesgos a través de: • Encuestas configurables tratamiento de riesgos
que permiten segregar • Todo esto permite obtener
funciones (diversos grandes ahorros de
responsables a través de tiempo al momento de
un flujo de trabajo con realizar el ciclo de gestión
diversos estados) y de riesgos.
mantener trazabilidad

© 2021 GlobalSuite Solutions. All rights reserved. 8

2.3 Integración de la gestión de incidentes con la
gestión de riesgos

Situación encontrada
Sin lugar a duda este es uno de los asuntos con el cual más nos encontramos cuando entramos
en contacto con posibles clientes, ya que típicamente llevan la gestión de incidentes y la gestión
de riesgos en herramientas separadas y por tanto la gestión de riesgos no se actualiza
oportunamente a partir de la materialización de incidentes de seguridad, derivando en mapas
de riesgos obsoletos que no reflejan de manera real la situación actual de la empresa ya que a
partir del incidente de seguridad puede afectarse la probabilidad, el impacto o inclusive ambas
variables, cambiando el escenario de riesgo inicial

Reto para el Responsable de Seguridad de la Información

Mantener un mapa de riesgos actualizado que refleje la realidad de la organización en cualquier
momento en el tiempo.
Solución
Con GlobalSuite® esta problemática se resuelve fácilmente a través de las siguientes
características:

01 02
Amplia flexibilidad a la hora de Riesgos en tiempo real: la versatilidad de
parametrizar el formulario de registro de configuración de GlobalSUITE Solutions
tickets (llámense incidentes, no permite incluir en los incidentes una
conformidades, acciones correctivas, sección que permita recuperar el análisis
etc.) permitiendo incluir en el formulario de riesgo vigente sobre el (los) activo (s)
nuevas secciones, nuevos campos, impactado (s) por el incidente de
asociar funcionalidad proveniente de seguridad y modificar prácticamente en
otros apartados en la herramienta con tiempo real las variables a que haya
listas de selección, etc. lugar (impacto, probabilidad, o cualquier
otra variable definida en la metodología
de riesgos configurada) posibilitando la
generación de una nueva versión del
mapa de riesgos.

03 04
Amplia flexibilidad a la hora de Posibilidad de integración con otras
parametrizar el formulario de registro de funcionalidades de GlobalSUITE Solutions
tickets (llámense incidentes, no para la activación de la gestión de crisis
conformidades, acciones correctivas, y/o activación de planes de recuperación
etc.) permitiendo incluir en el formulario de desastres o de continuidad de
nuevas secciones, nuevos campos, negocios en caso de un evento disruptivo
asociar funcionalidad proveniente de catastrófico.
otros apartados en la herramienta con
listas de selección, etc.

© 2021 GlobalSuite Solutions. All rights reserved. 9

2.4 Medición del Algunos responsables de seguridad de la información de
desempeño nuestros clientes no tienen claro cómo medir el desempeño de
la función de seguridad. Con el fin de orientarlos, es preciso
indicar que existen diversas fuentes en las cuales se encuentran
indicadores de seguridad de la información que guían a los
profesionales de seguridad a determinar el estado de gestión en
el desempeño, como:

Cobit 2019: El framework para Gobierno y Gestión de

Tecnologías de la Información promovido por ISACA define
para cada uno de los 40 procesos establecidos en el
modelo un conjunto de indicadores apropiados que
permiten seguir el desempeño del proceso. En particular en
dicho framework existen 2 procesos relacionados con
seguridad de la información (APO13 – Gestionar la seguridad
y DSS05 – Gestionar los servicios de seguridad)

ISO 27004: Este estándar facilita una serie de mejores

prácticas para poder medir el resultado de un SGSI basado
en ISO 27001 y presenta cómo determinar el programa de
medición, qué parámetros medir, cuándo y cómo medirlos,
y crear objetivos de desempeño.

© 2021 GlobalSuite Solutions. All rights reserved. 10

Reto para el Responsable de métrica. respectivas mediciones de
Seguridad de la Información • Definir métricas manuales acuerdo a la frecuencia
con base en mejores de recolección de la
Medir el desempeño de la prácticas como las información
función de seguridad de la mencionadas • Asociar indicadores de
información a nivel anteriormente y que son seguridad de la
estratégico, táctico y registradas manualmente información con los
operativo. de acuerdo a su objetivos de seguridad
frecuencia de recolección definidos para el Sistema
Solución determinada de Gestión de Seguridad
Con una herramienta el (semanalmente, de la Información.
responsable de seguridad de mensualmente, • Asociar los objetivos de
la información puede: trimestralmente, etc). seguridad de la
• Crear indicadores de información al mapa
seguridad a partir de las estratégico organizacional
• Definir métricas a partir de
métricas definidas permitiendo reflejar como
un catálogo de métricas
vinculando dichas los objetivos de seguridad
automáticas propuestas
métricas a través de una apoyan los objetivos del
por el mismo software con
fórmula. negocio y se logra una
base en su amplia
funcionalidad incorporada • Alertamiento vía email a alineación de seguridad
y que se van registrando los diversos responsables de la información con el
instantáneamente a de métricas / indicadores negocio.
medida que ocurren los antes del cumplimiento de
eventos asociados a la la fecha de registro de las

© 2021 GlobalSuite Solutions. All rights reserved. 11

2.5 Reporting

Situación encontrada
Actualmente la seguridad de la información ha pasado a ser un componente estratégico, un
pilar del negocio que es fundamental en la toma de decisiones y una necesidad inherente a
cualquier organización. Sin información veraz y oportuna no se pueden tomar decisiones
correctas y oportunas. Y esta es una problemática frecuente con la cual se encuentran los
responsables de seguridad con los siguientes ingredientes:

01 02 03 04 05

Falta de Información Información Información Consolidación

información incompleta, la inoportuna, la dispersa en difícil de la
para la toma de información información no diversas información
decisiones requerida no es está recogida y herramientas
completa disponible en el
momento
requerido

© 2021 GlobalSuite Solutions. All rights reserved. 12

Reto para el Responsable de Seguridad de información requerida para la toma de
la Información decisiones en una misma herramienta.
Entregar información completa y oportuna a • Configuración sencilla de plantillas de
los diversos interesados para toma de informes que incorporan datos y gráficos
decisiones de la herramienta para entregar
información consolidada y oportuna
Solución requerida por los diversos grupos de
A través de las opciones de Gap Analysis, interesados a nivel estratégico, táctico u
Planes de adecuación y Compliance se operativo.
pueden realizar las siguientes actividades: • Integración y desarrollo a medida de
• GlobalSUITE® permite: informes específicos requeridos por el
• Centralización de manera integral de la cliente a través de Power BI 3

Matriz de riesgo Residual Corporación C.H.

3 Power BI es un servicio de análisis empresarial de Microsoft, su objetivo es proporcionar visualizaciones interactivas y

capacidades de inteligencia empresarial con una interfaz lo suficientemente simple como para que los usuarios finales creen
sus propios informes y paneles

© 2021 GlobalSuite Solutions. All rights reserved. 13

03. Conclusiones

Ejercer la función de seguridad de la información en una organización hoy

en día conlleva diversos e innumerables desafíos. Desde el punto de vista
de gestión diaria y continua los principales retos para el responsable de
seguridad de la información con base en nuestra amplia experiencia en
proyectos a nivel global son:

Retos:

Entregar
Gestionar de Mantener un
Llevar a cabo Medir el información
manera mapa de
un proceso desempeño completa y
integral y riesgos
holístico de de la función oportuna a
oportuna las actualizado
gestión de de seguridad los diversos
diversas que refleje la
riesgos de de la interesados
normativas realidad de la
seguridad información para toma
de seguridad organización
de decisiones

Bajo este contexto el responsable de proporcionamos experiencia y valor a

seguridad que requiere hoy en día una nuestros clientes a partir de nuestra
empresa debe tener como una de sus participación como consultores en cientos de
competencias principales la de “solucionador proyectos relacionados con definición e
de situaciones problemáticas” (volviendo a la implementación de normativas de seguridad
idea inicial expresada en la introducción). y haber incorporado en el software toda esa
Realizar hoy en día toda esta gestión sin el experiencia acumulada y la interpretación de
apoyo de herramientas automatizadas qué es lo que requiere el Responsable de
puede convertirse en una labor titánica (!). Seguridad para facilitar sus labores de
Y precisamente es aquí donde GlobalSuite gestión y hacer más llevadero su trasegar por
Solutions encaja para apoyar la labor de la organización.
las áreas de seguridad de la información y
por ende de su responsable, ya que

© 2021 GlobalSuite Solutions. All rights reserved. 14

Acerca del autor

Carlos Villamizar R.
Director de Operaciones de GlobalSuite Solutions en
Colombia y responsable de proyectos. Tiene amplia
experiencia tanto en consultoría de seguridad de la
información como implementación de GlobalSuite en
entidades del sector público y privado en LATAM.
Conferencista internacional en temas relacionados con
gobierno de TI, auditoría, riesgos y controles de TI, y
seguridad de la información y continuidad de negocios.
Posee las certificaciones GlobalSuite Certified Consultant,
CISA, CISM, CRISC, CGEIT, ISO27001 LA, ISO22301 LI.

GlobalSuite Solutions
En GlobalSuite Solutions nos dedicamos a De forma paralela, llevamos más de 10
aportar e implementar soluciones en años desarrollando GlobalSuite® nuestro
materia de Riesgos, Seguridad, software integral para los sistemas de
Continuidad, Cumplimiento legal, Auditoría, gestión. Actualmente aportamos
entre otros. Contamos con más de 15 años soluciones a las compañías a través de las
de experiencia ofreciendo consultoría y siguientes líneas de servicios: Software,
auditoría especializada a empresas de consultoría, auditoría, servicios avanzados
múltiples sectores como el financiero, y gestionados.
asegurador, industrial, trasporte,
telecomunicaciones, energético, público, Nuestro objetivo es conseguir que las
etc. compañías sean más seguras y
gestionen correctamente su
cumplimento.

GlobalSuite® es la solución GRC para optimizar los procesos de riesgos, seguridad,

continuidad, auditoría, privacidad y compliance en tu negocio.

Para más información o una demo gratuita de cómo su organización puede

automatizar sus procesos de GRC, llámenos al 911 88 36 59
o visite www.GlobalSuitesolutions.com

© 2021 GlobalSuite Solutions. All rights reserved. 15

+34 911 883 659
comercial@GlobalSuitesolutions.com

16