¿Quién es responsable de la seguridad de la información? (2)

¿Quién es responsable de la seguridad de la información? Esta es una fácil. ¡Todos son responsables de la seguridad de la información! Una mejor pregunta podría ser “¿Quién es responsable de qué?”

El Rol de cada Departamento en la Seguridad de la Información 🎯

La seguridad de la información no es un asunto que recaiga exclusivamente sobre el departamento de TI. Para que sea efectiva, debe ser una responsabilidad compartida que involucre a cada miembro y área de la organización. A continuación, se detallan las responsabilidades clave de los departamentos más relevantes en la construcción de una sólida defensa de la información.

Alta Dirección (CEO, Gerencia)

La seguridad de la información comienza en la cima. La alta dirección no es un simple espectador; es el principal impulsor de la estrategia.

• Establecer la estrategia: La gerencia debe definir la visión de la seguridad de la información, alineándola con los objetivos de negocio de la empresa.
• Asignar recursos: Son responsables de destinar el presupuesto, el personal y la tecnología necesarios para implementar y mantener las políticas de seguridad.
• Crear una cultura de seguridad: Su liderazgo es fundamental para que la seguridad sea vista como un valor central de la empresa, y no como una simple tarea o un obstáculo.

Departamento de Tecnología de la Información (TI)

Aunque no son los únicos responsables, el equipo de TI es fundamental en la implementación técnica de la seguridad.

• Implementación de medidas técnicas: Son quienes configuran firewalls, sistemas de detección de intrusos, antivirus y otras herramientas para proteger la infraestructura tecnológica.
• Gestión de incidentes: Lideran la respuesta ante un ciberataque, investigando la causa, conteniendo el daño y recuperando los sistemas afectados.
• Monitoreo y mantenimiento: Supervisan continuamente la red, los servidores y los sistemas para detectar actividades sospechosas y aplican los parches de seguridad para corregir vulnerabilidades.

Recursos Humanos (RRHH)

El departamento de RRHH es la puerta de entrada y salida de las personas en la organización, por lo que su rol en la seguridad es crítico.

• Gestión de accesos: Deben coordinarse con TI para asegurar que los nuevos empleados obtengan los accesos necesarios de manera segura y, lo más importante, que los accesos de los empleados que se van sean revocados de inmediato.
• Capacitación del personal: RRHH debe asegurarse de que la capacitación en seguridad de la información sea parte del proceso de onboarding de cada nuevo empleado y de que las formaciones periódicas se cumplan.
• Políticas y procedimientos: Ayudan a desarrollar y comunicar las políticas de seguridad, como las de uso aceptable de la tecnología, y se encargan de su correcta aplicación.

Todos los Empleados (Todos los Niveles)

Cada empleado, sin importar su puesto, es la primera línea de defensa de la seguridad de la información de la empresa.

• Aplicar las políticas de seguridad: Deben seguir las normas establecidas, como el uso de contraseñas seguras, el bloqueo de sus equipos al alejarse de ellos y el manejo cuidadoso de la información confidencial.
• Reportar incidentes: Si un empleado sospecha que ha sido víctima de phishing o encuentra un comportamiento inusual en su equipo, debe reportarlo inmediatamente al equipo de TI.
• Ser conscientes del riesgo: La concientización es clave. Los empleados deben entender que sus acciones, por pequeñas que sean, pueden tener un gran impacto en la seguridad general de la empresa. Un simple clic en un enlace malicioso puede comprometer a toda la organización.

Enfoque de arriba hacia abajo

Alta gerencia: responsable de la seguridad de la información

En primer lugar, la seguridad de la información debe comenzar desde arriba. La “parte superior” es la alta gerencia y el “comienzo” es el compromiso. La alta gerencia debe comprometerse con la seguridad de la información para que la seguridad de la información sea efectiva. Esto no puede ser lo suficientemente estresado.

El compromiso de la alta gerencia con la seguridad de la información debe ser comunicado y entendido por todo el personal de la empresa y los socios externos.

El compromiso comunicado a menudo se presenta en forma de política. La alta gerencia demuestra el compromiso al participar activamente en la estrategia de seguridad de la información, la aceptación del riesgo y la aprobación del presupuesto, entre otras cosas.

Sin el compromiso de la alta gerencia, la seguridad de la información es un esfuerzo inútil.

Líderes de unidades de negocios

Tenga en cuenta que un negocio está en el negocio para ganar dinero. Ganar dinero es el objetivo principal, y proteger la información que impulsa el negocio es un objetivo secundario (y de apoyo). El personal de seguridad de la información necesita comprender cómo la empresa utiliza la información. De lo contrario, pueden producirse controles ineficaces y obstrucción del proceso.

Podría decirse que nadie sabe cómo se usa la información para cumplir los objetivos comerciales más que los empleados. Si bien no es práctico incorporar la opinión de cada empleado en un programa de seguridad de la información, es práctico buscar las opiniones de las personas que representan a cada empleado.

Establecer un comité directivo de seguridad de la información compuesto por líderes de la unidad de negocios. Los líderes de las unidades de negocios deben asegurarse de que la seguridad de la información impregne sus respectivas organizaciones dentro de la empresa.

Empleados

Todos los empleados son responsables de comprender y cumplir con todas las políticas de seguridad de la información y la documentación de respaldo (directrices, estándares y procedimientos).

Los empleados son responsables de buscar orientación cuando las implicaciones de seguridad de sus acciones (o acciones planificadas) no se comprenden bien. El personal de seguridad de la información necesita empleados para participar, observar e informar.

Los Terceros

Los terceros, como los contratistas y proveedores, deben proteger la información de su negocio al menos tan bien como usted. Los requisitos de seguridad de la información deben incluirse en los acuerdos contractuales. Su derecho a auditar los controles de seguridad de la información de terceros también debe incluirse en los contratos, siempre que sea posible. La responsabilidad del tercero es cumplir con el lenguaje contenido en los contratos.

Modelo de Responsabilidad Compartida: El Ejemplo de la Nube 🤝

Para entender cómo funciona la responsabilidad compartida en la seguridad de la información, el modelo de servicios en la nube es el ejemplo perfecto. A diferencia de un sistema tradicional donde la empresa es responsable de todo, la nube divide las tareas de seguridad entre el proveedor del servicio (como Amazon Web Services, Microsoft Azure o Google Cloud) y el cliente (la empresa que contrata el servicio).

La mejor manera de visualizarlo es con una analogía simple:

• Piénsalo como la seguridad de un hotel:
  • El hotel (el proveedor de la nube) es responsable de la seguridad del edificio: las cerraduras de las puertas, el sistema de vigilancia en los pasillos, los sistemas contra incendios y la estructura del edificio.
  • El huésped (el cliente) es responsable de la seguridad de su habitación: cerrar la puerta con llave al salir, no dejar objetos de valor a la vista y cuidar sus pertenencias personales.

Si un ladrón entra al hotel por una puerta principal que estaba rota, la responsabilidad es del hotel. Pero si un ladrón entra a la habitación de un huésped porque este dejó la puerta abierta, la responsabilidad es del huésped.

¿Qué protege el proveedor de la nube y qué protege la empresa?

Las responsabilidades se dividen en diferentes niveles, dependiendo del tipo de servicio de nube que se contrate:

• Infraestructura como Servicio (IaaS): El proveedor es responsable de la seguridad de la nube. Esto incluye la seguridad del hardware, las redes, los servidores y los centros de datos físicos. La empresa es responsable de la seguridad en la nube, es decir, del sistema operativo, las aplicaciones, los datos y la configuración de red y acceso.
• Plataforma como Servicio (PaaS): El proveedor se encarga de la seguridad del hardware, el sistema operativo y el software de base. La empresa sigue siendo responsable de las aplicaciones que desarrolla y de los datos que procesa.
• Software como Servicio (SaaS): En este modelo, el proveedor gestiona casi todo: la infraestructura, el sistema operativo y la aplicación. La responsabilidad de la empresa se limita principalmente a la gestión de accesos, es decir, asegurarse de que solo los usuarios autorizados tengan acceso a la información y que utilicen contraseñas fuertes.

El punto clave de este modelo es que, sin importar el servicio, la seguridad de los datos siempre es responsabilidad de la empresa. Los datos son el activo más valioso, y la organización debe asegurarse de que estén protegidos con políticas de acceso, encriptación y copias de seguridad adecuadas.

Entender este modelo es crucial para evitar malentendidos y garantizar que tu empresa asuma su parte de la responsabilidad, protegiendo así su información más valiosa de manera efectiva.

Casos Reales y Estadísticas que demuestran la Responsabilidad Compartida 📊

Para comprender la importancia de que la seguridad de la información sea una responsabilidad compartida, basta con analizar datos y casos reales. Las estadísticas demuestran que el factor humano es, en la mayoría de los casos, la principal vulnerabilidad de una empresa, incluso más que las fallas técnicas.

El Phishing: La principal puerta de entrada

Las cifras más recientes son alarmantes y ponen de manifiesto la importancia de la capacitación de los empleados:

• Más del 90% de los ciberataques exitosos comienzan con un correo de phishing o de ingeniería social. Esto significa que, sin importar cuán robusto sea el firewall o el antivirus de la empresa, un solo clic de un empleado puede comprometer toda la red.
• En 2024, los ataques de phishing aumentaron un 26% a nivel global. Los ciberdelincuentes están perfeccionando sus técnicas, y la mejor defensa contra esta amenaza es un empleado bien informado.
• Estudios recientes han demostrado que el porcentaje de empleados que caen en una prueba de phishing puede reducirse de un 33.2% a un 5.4% después de solo un año de formación y concientización continua.

Casos de Filtraciones por Negligencia o Error Humano

Muchos de los incidentes de seguridad más famosos no se deben a fallas técnicas sofisticadas, sino a la negligencia o el error de un empleado.

• El caso de Equifax (2017): Esta gigantesca filtración de datos, que expuso la información de 147 millones de personas, no se debió a un hack complejo, sino a una vulnerabilidad conocida en el software que no se parcheó a tiempo. Si bien es un error técnico, la responsabilidad de no aplicar el parche recaía sobre el equipo de TI, lo que demuestra la importancia de su rol en el mantenimiento de los sistemas.
• El caso de Capital One (2019): Los datos de más de 100 millones de clientes fueron robados. La atacante no hackeó la infraestructura del banco, sino que se aprovechó de una configuración incorrecta de un firewall en un servidor de la nube de la empresa. Este error de configuración, un fallo humano, permitió el acceso a la información confidencial, lo que subraya la responsabilidad del personal en el manejo de las herramientas tecnológicas.
• El ejemplo de la pérdida de un dispositivo: Algo tan simple como un empleado que pierde un ordenador portátil o un teléfono móvil sin encriptación ni protección de contraseña puede resultar en una filtración de datos masiva y costosa. Este tipo de incidentes, aunque no sean “ciberataques” en el sentido estricto, comprometen la seguridad de la información por la falta de un control y de una política clara por parte del departamento de TI y la alta dirección, así como por la negligencia del empleado.

Estos ejemplos y estadísticas demuestran que la seguridad de la información es un eslabón que no se puede romper en ningún nivel. Cada departamento y cada empleado tienen un papel vital que desempeñar para proteger la información de la empresa. Ignorar esta responsabilidad compartida es invitar al desastre.

Cómo Fomentar una Cultura de Seguridad en la Empresa 🧠

Crear una cultura de seguridad no se logra instalando un software o redactando un manual; es un cambio en la mentalidad de cada persona en la empresa. Se trata de pasar de ver la seguridad como una obligación a entenderla como un valor fundamental que beneficia a todos. Aquí te presentamos estrategias clave para lograrlo.

1. Comunicación Interna Continua y Estratégica

La seguridad debe estar siempre presente en la conversación de la empresa. No debe ser un tema del que solo se habla después de un incidente.

• Mensajes Regulares: Envía recordatorios semanales o quincenales sobre las mejores prácticas de seguridad. Usa diferentes formatos: correos electrónicos, posters en la oficina o mensajes en la intranet.
• Lenguaje Sencillo: Evita la jerga técnica. Explica los riesgos y las políticas de forma clara y con ejemplos de la vida real. Un mensaje sobre phishing es más efectivo si muestra ejemplos de correos falsos que han llegado a la bandeja de entrada de los empleados.
• Canales Abiertos: Crea un canal para que los empleados puedan reportar actividades sospechosas o hacer preguntas sin miedo a ser juzgados. Fomenta la idea de que es mejor preguntar que cometer un error.

2. Programas de Capacitación Prácticos y Regulares

La formación no debe ser un evento anual y aburrido. Debe ser un proceso dinámico y práctico que refuerce el aprendizaje.

• Capacitación Intermedia y Avanzada: Ofrece cursos básicos para todos los empleados y cursos más especializados para el personal que maneja información sensible.
• Simulacros de Phishing: Son una herramienta poderosa. Envía correos de prueba que imiten un ataque de phishing real. Luego, usa los resultados para identificar a quienes necesitan más formación y para demostrar el riesgo de manera tangible.
• Gamificación: Transforma la capacitación en un juego. Usa concursos, desafíos o insignias para incentivar a los empleados a completar los módulos de formación y a aplicar las mejores prácticas.

3. Incentivos y Reconocimiento

Reconocer las buenas prácticas es tan importante como corregir las malas.

• Premios por Reportar: Premia a los empleados que reporten correos de phishing u otros incidentes de seguridad. Esto fomenta la vigilancia y la colaboración.
• “Héroe de la Seguridad”: Crea un programa de reconocimiento mensual o trimestral para la persona que demuestre el mayor compromiso con las políticas de seguridad.
• Comunicación de Logros: Celebra los éxitos de la empresa en materia de seguridad, como el número de ataques bloqueados o el aumento de la participación en los programas de formación.

4. Liderazgo desde la Alta Dirección

Los empleados se fijan en el comportamiento de sus líderes.

• Compromiso Visible: Los líderes de la empresa deben participar activamente en las formaciones y ser los primeros en seguir las políticas de seguridad.
• Recursos y Apoyo: La gerencia debe demostrar que la seguridad es una prioridad al asignar un presupuesto adecuado y alinearla con los objetivos de negocio.

Al combinar estos enfoques, una empresa puede pasar de tener solo reglas a tener una verdadera cultura de seguridad, donde cada persona se siente empoderada y responsable de proteger la información más valiosa.

Leer también:Necesidad de la seguridad en la información, importancia; Seguridad del centro de datos: capas físicas y digitales de protección; qué es la tecnología de la información TI; Passwords y seguridad

• Author
• Recent Posts

Follow me

Angel Eulises Ortiz

Blogger at Pcweb.info

Como blogger, disfruto compartiendo mis conocimientos sobre marketing digital y otras herramientas útiles para emprendedores y profesionales. La curiosidad por los idiomas y la fascinación por diferentes civilizaciones son parte integral de mi vida. Escribo sobre: tecnología, marketing, historia, sociedad, salud y más.

As a blogger, I enjoy sharing my knowledge about digital marketing and other useful tools for entrepreneurs and professionals. Curiosity about languages ​​and fascination with different civilizations are an integral part of my life. I write about: technology, marketing, history, society, health and more.

Follow me

Latest posts by Angel Eulises Ortiz (see all)

• Inteligencia Artificial en el marketing digital, usos y aplicaciones, lo que no sabías (4 usos con prompts) - September 19, 2025
• Historia del marketing digital, evolución, línea de tiempo, cronología; lo que no sabías (2025) - September 19, 2025
• Historia de la computación 2010, ipad, stuxnet, Kindle - September 19, 2025