Universidad piloto de Colombia, Cardona Orjuela, Gestion de riesgos de seguridad de la informacin.

Gestinderiesgosdeseguridaddela
informacin,factordecisivoenaconformacin
delasinstitucionesdelestadocolombiano.
CardonaOrjuela,MayraVanessa.
vanessa.cardona1@hotmail.com
UniversidadPilotodeColombia.

II. MEDIOS DE COMUNICACIN Y DE MANEJO DE

Resumen Crticayanlisissobrelossistemas
LA INFORMACION.
de gestin de riesgos de seguridad de la
informacin, su afectacin en los dferentes
entornos empresariales y explicacin de la
manera como se deberan implementar de El concepto de tecnologas de la informacin y
de las comunicaciones aplica a un conjunto de
acuerdoalasnormasvigentes.
diversos medios que permiten todo tipo de
interaccin con la
I. INTRODUCCIN

La informacin es la identidad de toda

organizacin y /o empresa, es en si la base de
todo proceso en toda disciplina hacia lo cual
debe orientarse una institucin y por ello debe
estar debidamente custodiada y tratada porque
dependiendo de la naturaleza de la informacin
podra generar un panorama de riesgos
innumerable que generaran un enorme caos
dentro de toda la sociedad, a estos elementos
neurlgicos de la informacin se les demonina
activos de una institucin sobre los cuales se
debe ejercer estricto control, vigilancia y
proteccin para evitar su perdida, modificacin o
el uso inadecuado de su contenido. Estos
elementos a su vez pueden agruparse en varios
focos de interaccin como lo son: los datos e
informacin, la infraestructura y el personal, este
ltimo elemento es el mas importante, el factor
humano es la columna vertebral de toda
institucin o empresa y la no implementacin de
polticas claras para el manejo de la informacin
podra causar muchsimas contraprestaciones
que podran llevar incluso al colapso de una
institucin o empresa.

informacin, es as como se puede hablar de

consecucin,
tratamiento,
procesamiento,
almacenamiento y difusin de informacin as
como de sus registros a travs de una serie de
componentes de tecnolgicos que no solo
permiten el desarrollo de los procesos
mencionados anteriormente, si no tambin de la
globalizacin de todo tipo de informacin, sin
embargo es de aclarar que no toda la
informacin es de inters pblico y por lo tanto
tambin se hace la disposicin de los medios a
travs de los cuales se determinarn los
privilegios para el manejo y la administracin de
temas mas complejos que soportan la identidad y
la razn de ser de una empresa o institucin.
Todas estas informaciones pueden ser traducidas
en forma de voz, imgenes y datos contenidos en
seales de naturaleza electromagntica, optica o
meramente acstica o visual. Las tecnologas de
la informacin y de las telecomunicaciones usan
coo herramienta fundamental la tecnologa que
obviamente depende de lo sofisticados que sean
los medios electrnicos que estn a disposicin
de la institucin o empresa y que a su vez
debern incluir los medios para la proteccin y

Universidad piloto de Colombia, Cardona Orjuela, Gestion de riesgos de seguridad de la informacin.

defensa ante posibles vulneraciones de las que

pueda ser objeto la informacin. Hoy por hoy los
gobiernos del mundo fomentan el uso de todas
estas tecnologas, para que todas las personas as
como todas las estancias del estado puedan tener
acceso a todo tipo de informacin de dferentes
ndoles, como lo son: la informacin acadmica,
a informacin de inters general y de ndole
institucional de cada ente del estado y
obviamente al promover su uso, claramente estas
tecnologas se convierten tambin en eje del
desarrollo social, econmico y tecnolgico de
cualquier estado; tambin se eliminan barreras
de tiempo y espacio para la transimisin,
recepcin y procesamiento en cualquier lugar del
globo terrestre. Sin embargo hay que hacer
claridad en que no toda la informacin es de
inters general, que algunos datos deben tener
categoras de manejo de acuerdo a la
importancia que los dferentes tipos de
informacin tienen dentro de una institucin y
hoy por hoy tecnologas como los enlaces de
microondas satlitales, los enlaces de fibra
ptica, los medios electrnicos para la
multiplexacin y codicifacin de informacin de
voz y datos permiten el acceso inmediato a
cualquier variedad y cantidad de informacin y
es aqu donde la tecnologa tambin se convierte
en el prncipal punto de vulneracin ya que
algunos factores humanos influyen en la
vulneracin de la seguridad de la informacin y
es por ello que una empresa debe fijar un modelo
para gestionar los riesgos de la seguridad de la
informacin, as como existen modelos de
gestin de riesgos para otras dimensiones
neurlgicas para una institucin.
III. AMENAZAS Y VULNERABILIDAD DE LA
INFORMACIN.

Dentro de toda institucin o empresa todos los

riesgos y vulneraciones tienen su raz en el
factor humano, si bien la mayora de los
modelos de gestin y administracin de riesgos
estn orientados a la preservacin y
conservacin de la vida humana otros estn
orientados a la preservacin y sustentacin de
una institucin o empresa y el factor humano es

el actor directo en el desarrollo de estas tareas.

Toda institucin se sustenta a partir de la
informacin que administra, para ello debe
disponer de unos medios para su propagacin,
administracin, control y seguridad, al hablar de
estos trminos no solamente debemos pensar en
tecnologas porque como ya se ha explicado es
el factor humano el mas influyente dentro del
flujo de la informacin y por tal motivo todo
medio y forma de gestin de riesgo debe ir
orientado en primer lugar al personal ya que
aproximadamente un 25% de las vulneraciones
de seguridad de la informacin ocurren por
acciones u omisiones de empleados que se
traducen en errores procedimentales y dems
que ponen en riesgo el manejo de la informacin
de sus respectivas empresas, lo cual da cimiente
a el otro 25% de vulneraciones que son por
causa de terceros evidenciando claramente que
el factor humano es el mas influyente dentro de
las vulneraciones de la seguridad de la
informacin y finalmente un 20% que va
determinado por factores de decisiones humanas
y se trata de la adaptacin tarda a nuevas
tecnologas, lo cual implica desproteccin ante
nuevos tipos de vulneracin y teniendo en cuenta
los cambios que van transcurriendo a travs del
tiempo y en toda institucin en materia de
tecnologa debidos a la evolucin del mundo y la
sociedad humana; el crecimiento acelerado de la
economa y la extensin geomtrica de la
misma, la evidente dependencia causada por los
altos volumenes de informacin y la
complejidad de los sistemas que los proveen;
todas estas cosas dan pie a las amenazas
informticas que bsicamente son produccin y
manejo de software mal intencionado para el
hurto, extraccin y manejo indebido de la
informacin. Es necesario mencionar algunos
tipos de vulneracin que se dan a nivel
informtico y de telecomunicaciones, el mas
comn de todos es el virus informtico, que es
un tipo de programa que se divide y multiplica
automticamente mediante subrutinas de
programacin y cuyo objetivo es causar fallas de
funcionamiento en los equipos de computo y sin
que sea advertido o detectado por los usuarios, el
peligro yace en que estos programas pueden

Universidad piloto de Colombia, Cardona Orjuela, Gestion de riesgos de seguridad de la informacin.

destruir los datos almacenados sustituyendo los

la informacin original por datos infectados
sobre la misma lnea de cdigo del virus, sobre
esta misma base aparece tambin una serie de
amenazas que en mayor proporcin generan
enormes vulneraciones de informacin como es
el caso de los gusanos, tambin denominados
worm y cuyas subrutinas estn diseadas para
duplicarse sobre s mismos ocupando el volumen
de los dispositivos de almacenamiento de las
unidades de computo, el mayor dao que causan
sobre la informacin es la imposibilitacin al
acceso de medio mediante la ralentizacin o la
no ejecucin efectiva de dferentes programas o
aplicaciones para el procesamiento de
informacin. Por otra parte aparecen los
elementos de software que permiten el acceso de
informacin por parte de terceros y que son
conocidos como software espa y los caballos de
troya, que estn orientadas directamente a la
vulneracin de la informacin mediante el uso y
el control de los medios informticos a travs de
elementos que residen como fantasmas en las
mquinas pero que sustituyen lneas de cdigo
de programacin para tener pleno acceso a las
races de archivos de servidores, computadores,
telfonos celulares y dems y as obtener su
pleno control, todas esas amenazas yacen en el
elemento humano desde aquellos que preparan y
ponen en accin estas amenazas y vulneraciones,
hasta los usuarios y administradores de
informacin quienes al no tener una ilustracin
adecuada de todos estos elementos pueden
incurrir en serias violaciones de seguridad de la
informacin. Entendiendo todos estos factores se
puede determinar claramente que debe haber un
muy bien estructurado sistema de gestin de
riesgos que debe estar orientado a disminuir todo
tipo de vulnerabilidad y la reduccin del efecto
de las amenazas, as como tambin la reduccin
de los costos de inversin en adquisicin de
medios que permitan el control y proteccin de
la informacin que en la actualidad estn
basados en las dferentes herramientas
tecnolgicas y en los mtodos de administracin
y gestin de riesgos creados a partir de todas las
observaciones de expertos en materia de manejo
de la informacin y es por ello que una gestin

efectiva de riesgos de manejo de informacin

debe involucrar elementos muy concretos que
faciliten el control, la supervisin y previsin de
los dferentes panoramas de riesgos con sus
respectivas proyecciones en el tiempo, razn por
la cual se debe tener un pleno entendimiento de
las amenazas y vulnerabilidades en pro de la
bsqueda de las soluciones debidas que permitan
contrarrestarlas, as mismo se debe analizar el
prfil institucional para entender que tipo de
vulneraciones pueden buscar como objetivo
nuestra institucin y la naturaleza de las posibles
vulneraciones; deber tambin permitir un claro
entendimiento de las consecuencias de una
posible exposicin de los riesgos y las medidas
necesarias para afrontar una crisis como
consecuencia de una vulneracin de informacin
y los posibles causales de inestabilidad en un
panorama de vulneracin, se deber elaborar un
mapa de riesgos y motivar a travs de una
estrategia organizacional a todo el personal, de
todo nivel para entender los posibles riesgos de
seguridad de la informacin a la cual se tiene
acceso dentro de cada nivel de la institucin. De
la misma forma todo sistema implementado debe
ser cuantificable y debe constituirse en una
herramienta de gestin que permitir determinar
los alcances, niveles de amenazas, niveles de
conciencia dentro del clima organizacional, as
mismo la relacin costo beneficio del sistema
implementado dentro de la organizacin.
IV. SOLUCIONES PLANTEADAS A NIVEL
ESTRATEGICO.

Desde el punto de vista de la administracin, hay

un marco terico para la aplicacin de sistemas
de gestin de riesgos de seguridad de
informacin (SGSI). Para poder entrar en
detalles de este tema se debe entender el
concepto de informacin, lo cual se define
como: Todo aquel conjunto de datos
organizados en poder de una entidad que posean
valor para la misma, independientemente de la
forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada
electrnicamente, proyectada, enviada por

Universidad piloto de Colombia, Cardona Orjuela, Gestion de riesgos de seguridad de la informacin.

correo, fax o e-mail, transmitida en

conversaciones, etc.), de su origen (de la propia
organizacin o de fuentes externas) o de la fecha
de elaboracin (1). Hoy por hoy todas las
instituciones y empresas en Colombia apuntan
su direccionamiento estratgico hacia la acogida
de normas internacionales que son adaptadas y
aplicadas como directrices dentro del modelo de
gestin y administracin de una institucin y es
as como en la gestin riesgos de seguridad de la
informacin existe un estandar internacional de
normas ISO 27000 las cuales estn orientadas
hacia tres criterios especficos para la gestin de
riesgos, la confidencialidad, la integridad y la
disponibilidad. La confidencialidad indica que
no todas las personas estn autorizadas para
tener el acceso a todo tipo de informacin y por
lo tanto esta no puede ni deber ser revelada a
nadie que no se le haya concedido autorizacin
de acceso a los dferentes tipos de informacin;
la integridad es el segundo criterio y nos indica
que la informacin debe ser precisa y completa,
as mismo los elementos responsables de su
procesamiento deben estar dispuestos y en
absoluto estado de mantenimiento para
garantizar la disponibilidad de la informacin,
por ltimo el elemento de la disponibilidad que
consiste en el acceso como tal de la informacin
como se requiera, as como la disponibilidad de
los medios de acceso para los usuarios
debidamente autorizados conforme al nivel de
confidencialidad que se les autorice de acuerdo a
su cargo. Es de tener en cuenta que aunque una
institucin llegara a contar con un presupuesto
ilimitado, garantizar un pleno nivel de
proteccin es imposible, el real propsito de un
sistema de gestin de la seguridad de la
informacin debe ser el de hacer que todos los
riesgos implcitos de la informacin conforme a
la naturaleza de una institucin o empresa sean
conocidos, sean tratados, socializados y por
supuesto minimizados mediante una estrategia
organizacional que haga partcipes a todos los
miembros de un ente y se le den a conocer todos
los riesgos que existen en su nivel, desde luego
esto se debe implementar de una manera
estructurada y debe ser ejecutado un plan
sistemtco para que tambin sea adaptativo a los

cambios que se presentan con la evolucin de los

conceptos de manejo del talento humano y de la
evolucin de las tecnologas de la informacin y
de las telecomunicaciones a partir de una
constante evaluacin de los dferentes entornos y
tecnologas.

CONCLUSIONES.

Un sistema de gestin de riesgos de seguridad de

la informacin no es mas que un puro concepto
terico si no se implementa de una forma
dinmica por una empresa, un sistema dinmico
ante todo debe ser participativo, para que cada
actor en su nivel aquiera plena conciencia y
adems tambin se constituya en un agente de
seguridad, es la informacin uno de los aspectos
mas importantes dentro de la estructura de una
empresa o institucin y debido a ese detalle se
debe hacer inversin de capital en todos los
medios que contribuyan a minimizar todo tipo
de vulnerabilidad y tambin a la elaboracin de
planes alternos en caso de que la seguridad de la
informacin llegara a ser violada. Tambin se
debe fomentar la conciencia del factor humano,
se deben incrementar los protocolos de
seguridad para garantizar el acceso de la
informacin a un usuario de acuerdo al nivel y
tipo de requerimientos a que tenga lugar y
limitando todo aquello que no sea de la
competencia de determinado usuario. Mas que el
hecho de pretender fomentar cierta burocracia a
travs de un modelo de gestin dentro de una
institucin y sobre todo si es estatal, debe ser el
de fomentar el pensamiento de la seguridad de la
informacin y aunque la tecnologa es un factor
muy importante dentro de seguridad de la
informacin y tambin hace parte de la
estructura de un sistema de gestin de riesgos, se
debe hacer el mayor enfasis en el talento
humano, porque en definitiva todo tipo de
amenazas, vulneraciones y dems dependen
plenamente de la accin humana tanto en el
interior de la institucin como de personas
ajenas a ella y la conclusin final es que la
efectividad de un sistema de gestin est dentro

Universidad piloto de Colombia, Cardona Orjuela, Gestion de riesgos de seguridad de la informacin.

de la estrategia empresarial o institucional para

fomentar una real conciencia de cada situacin
dentro de todas las personas que conforman un
ente, aun si se dispone de los medios
tecnolgicos mas sofisticados para contrarrestar
vulneraciones finalmente se depender del factor
humano.

REFERENCIAS.

(1)

Definicin de informacin dada por la norma ISO

27001