Aprender a crear un plan de seguridad de la información

Está claro que la conversación ya no puede quedarse en la superficie técnica. La seguridad dejó de ser una reacción defensiva para convertirse en una forma de gobernanza. No se trata únicamente de proteger servidores o contraseñas, sino de resguardar la reputación, la confianza y la rentabilidad futura a través de un plan de seguridad de la información.

Cada transacción, cada proceso automatizado, cada interacción con un cliente genera datos que sostienen la continuidad de los negocios. En este ecosistema hiperconectado, la información no solo “fluye”: sostiene el sistema circulatorio completo de una organización.

Por qué los negocios digitales necesitan un plan de seguridad de la información

Durante años se creyó que la seguridad de la información era un asunto técnico: firewalls, contraseñas robustas, servidores protegidos en una sala fría y un equipo de TI atento a cualquier alerta. Ese paradigma quedó obsoleto, porque la importancia de la seguridad de la información se volvió absoluta. No porque sea un requisito tecnológico, sino porque se ha convertido en una condición de viabilidad empresarial.

El crecimiento exponencial de las operaciones digitales multiplicó la superficie de ataque de manera silenciosa: plataformas de e-commerce que procesan miles de transacciones por hora, startups que escalan de 5 a 50 colaboradores en cuestión de meses, bancos que migran a la nube para sostener su expansión regional, empresas tradicionales que adoptan modelos híbridos sin contemplar los riesgos de dispositivos personales conectados a redes corporativas. Cada nuevo canal, cada automatización y cada API abierta suman eficiencia… pero también riesgo.

En ese contexto, la seguridad ya no puede pensarse como un escudo técnico que “TI se encarga de resolver”. Es una disciplina estratégica que define cuánto puede crecer una organización sin comprometer su reputación ni su continuidad. Como plantea el análisis realizado por la revista Gartner, la ciberseguridad dejó de ser un centro de costos para convertirse en un habilitador directo de continuidad operativa e innovación. Es decir, no se invierte en proteger sistemas: se invierte en proteger el negocio mismo.

Esto explica por qué los directorios de las compañías más competitivas están adoptando formalmente un sistema de gestión de seguridad de la información (SGSI) como parte de su modelo de gobernanza. El SGSI deja de ser un documento técnico y pasa a ser una metodología corporativa que define reglas, responsabilidades, métricas y decisiones de inversión.

Elementos esenciales antes de diseñar un plan de seguridad de la información

Construir un plan de seguridad de la información es similar a diseñar los cimientos de un edificio que, con el tiempo, tendrá más pisos, más habitantes y más rutas de acceso. Antes de escribir políticas o implementar herramientas, una organización necesita comprender a fondo qué está protegiendo, contra quién y bajo qué criterios.

La tríada CIA

La seguridad de la información no comienza con un protocolo, sino con una idea fundacional: la tríada CIA. Este modelo —confidencialidad, integridad y disponibilidad— funciona como brújula para cualquier política de seguridad de la información y para todos los tipos de seguridad de la información, desde la lógica hasta la física.

El libro Fundamentos de la Ciberseguridad publicado por la editorial de la Escuela de Negocios ADEN, sostiene que la tríada ordena toda estrategia de protección, aclarando que cada principio orienta decisiones que van desde el cifrado de datos hasta la preparación de planes de contingencia. Su fuerza conceptual reside en su aplicabilidad transversal: sirve tanto para una startup en crecimiento como para una corporación multinacional.

Imaginemos un grupo empresarial que opera de manera integrada. Aunque cada unidad de negocio tiene dinámicas distintas, su continuidad depende de que la información cumpla simultáneamente con los tres principios esenciales de la tríada CIA:

• Confidencialidad: Cuando un cliente realiza una compra en la plataforma de e-commerce, sus datos financieros son procesados por la fintech del grupo. Mantener la confidencialidad implica que solo personal autorizado pueda acceder a la información de pagos. Esta exigencia condiciona decisiones estratégicas como la selección de pasarelas certificadas, acuerdos con proveedores que cumplan ISO 27001 y evaluaciones constantes de cumplimiento legal en cada país donde opera. Una filtración no afectaría solo a la fintech: dañaría la confianza de todo el ecosistema.
• Integridad: En la misma operación, el inventario del e-commerce debe actualizarse en tiempo real. Si la información se altera por error o por manipulación maliciosa (por ejemplo, indicando que hay stock cuando no lo hay), la empresa podría vender productos inexistentes, distorsionar precios dinámicos o fallar en análisis de demanda.
• Disponibilidad: Finalmente, apenas se concreta la compra, la orden se envía automáticamente a la planta de manufactura, donde sensores IoT activan procesos de ensamblaje, empaquetado o despacho. Si el sistema cae, la disponibilidad se quiebra: la línea de producción se detiene, los tiempos de entrega se atrasan y toda la cadena de valor se ve comprometida.

Clasificar los activos y entender su valor real para el negocio

No todos los datos pesan igual. Un error frecuente es pensar que “todo es importante”. En realidad, la fortaleza de un plan de seguridad de la información reside en distinguir qué activos son críticos, qué datos son sensibles y cuáles requieren protección reforzada.

Para ilustrarlo, imaginemos tres escenarios:

• Una cadena de clínicas privadas: Sus activos críticos incluyen historiales clínicos, resultados de laboratorio y credenciales de acceso a sistemas médicos. Su pérdida o alteración no solo implica sanciones regulatorias, sino riesgo para la vida del paciente.
• Una startup que procesa pagos internacionales: Sus activos clave son datos financieros, logs de transacciones y llaves criptográficas. La indisponibilidad de estos activos puede implicar multas, pérdida de clientes y desconfianza inmediata del mercado.
• Una empresa de capacitación que ofrece cursos online: Sus cursos, base de datos de alumnos y sistemas de pago son críticos, pero otros activos —como publicaciones institucionales— pueden clasificarse como públicos.

Clasificar permite aplicar controles proporcionales y evitar inversiones innecesarias. En términos estratégicos, el liderazgo necesita diferenciar qué hace que el negocio siga funcionando y qué representa un riesgo mayor en términos de reputación, cumplimiento y continuidad.

Evaluar vulnerabilidades con criterios de negocio, no solo técnicos

Conocer los activos críticos permite enfrentar el siguiente paso: evaluar vulnerabilidades. El libro Fundamentos de la Ciberseguridad describe cinco tipos principales: vulnerabilidades de software, configuración, red, humanas y físicas. Sin embargo, la clave para un líder no es memorizar categorías, sino evaluar el impacto según criterios empresariales.

Tomemos algunos ejemplos:

• Software desactualizado en una fintech: Una API pública sin parches no solo representa un riesgo técnico; puede convertirse en un incidente regulatorio si expone datos personales o financieros.
• Configuración incorrecta en el e-commerce de una franquicia de comida rápida: Un servicio abierto al público que no debería ser accesible puede habilitar ataques que comprometan inventarios, órdenes o promociones automatizadas.
• Errores humanos en una empresa de servicios profesionales: Un colaborador que comparte credenciales por correo o conserva contraseñas en texto plano puede convertirse en el origen de una brecha millonaria.
• Dispositivos IoT sin contraseñas seguras en una cadena de retail: Un atacante puede ingresar por cámaras o sensores mal configurados y escalar hacia sistemas críticos.

Para priorizar acciones, muchas empresas utilizan estándares como CVSS y matrices de impacto. Pero más importante que la metodología es adoptar una mentalidad: priorizar según lo que afecta la continuidad del negocio, la confianza del cliente y el cumplimiento normativo, no según “lo que más suena a urgente”.

Incorporar el mosaico regulatorio de LATAM

Hay un elemento que hace especialmente desafiante el diseño de políticas de seguridad de la información en la región: el mosaico normativo. Empresas que operan en varios países deben convivir con reglas diferentes sobre privacidad, notificación de incidentes y tratamiento de datos.

Algunas referencias clave a tener en cuenta son:

• GDPR, para empresas que tratan datos de ciudadanos europeos;
• ISO/IEC 27001, como estándar global para sistemas de gestión de seguridad de la información;
• Ley 81 de Panamá sobre protección de datos personales;
• Ley 29.733 de Argentina;
• Ley 1581 y 1273 en Colombia, que integran protección de datos y delitos informáticos.

En negocios digitales, esta comprensión regulatoria no es un “plus”: es un requisito para evitar sanciones, cierres temporales, bloqueos de operaciones o prohibiciones de tratamiento de datos.

Directrices posibles para crear un plan de seguridad de la información

Una empresa protegida con ciberseguridad va más allá de simplemente llenar documentos o instalar herramientas de manera apresurada. Implica, más bien, diseñar la arquitectura conceptual y operativa que permitirá que una empresa —grande o pequeña, digital o híbrida— pueda crecer sin comprometer sus datos, su reputación o su continuidad de negocio.

1. Diagnóstico inicial alineado a los objetivos corporativos

El primer paso no es técnico: es estratégico. Antes de evaluar firewalls o cifrado, la organización debe responder una pregunta clave: ¿qué quiere proteger y para qué quiere protegerlo?

Un diagnóstico sólido contempla tres dimensiones:

a) Procesos críticos del negocio

El plan debe partir de un mapa claro: ventas, operaciones, pagos, entrega de productos, soporte, manufactura, análisis de datos, etc. No todos los procesos tienen el mismo peso; el liderazgo necesita distinguir cuáles determinan la continuidad operativa y cuáles sostienen la confianza del cliente.

b) Nivel de exposición digital actual

• ¿Cuántos sistemas están en la nube?
• ¿Cuántos colaboradores trabajan de forma remota?
• ¿Qué proveedores clave procesan datos sensibles?
• ¿Qué APIs o integraciones externas existen?

c) Relación entre inversión en seguridad y valor del negocio (ROSI)

Hoy en día existe un dato alarmante: más del 60% de las PyMEs latinoamericanas que sufren un ataque sin preparación adecuada cierran sus operaciones antes de seis meses. El análisis permite comprender que la inversión en seguridad no es un gasto, sino un mecanismo de supervivencia.

En este punto, el liderazgo establece prioridades, define riesgos tolerables y convierte la seguridad en un habilitador del negocio, no en un freno.

2. Definir la política de seguridad de la información

La política de seguridad de la información es el corazón del SGSI. Es un documento estratégico que define cómo la organización concibe, gestiona y protege sus activos. No es un manual técnico; es una pieza de gobernanza. Una política bien diseñada incluye:

a) Roles y responsabilidades claras: Quién decide, quién implementa, quién supervisa y quién reporta. Desde el CEO hasta los usuarios operativos.

b) Apetito de riesgo: El liderazgo determina qué riesgos es aceptable asumir y cuáles no. Una empresa logística que opera en varios países, por ejemplo, puede tolerar riesgos operativos menores, pero no brechas que afecten rutas, envíos o datos personales de clientes.

c) Obligaciones regulatorias: La política debe alinearse con las normativas aplicables (GDPR, ISO 27001, Ley 81, Ley 29.733, etc.).

d) Comunicación y cultura: Una política no sirve si nadie la conoce. Debe traducirse en prácticas, capacitaciones, indicadores y mensajes consistentes.

3. Diseñar controles técnicos y administrativos basados en ISO 27002

Luego de definir la política, se seleccionan los controles que harán posible su cumplimiento. Aquí se combinan prácticas técnicas, procedimientos formales y decisiones estratégicas.

Entre los controles más relevantes se encuentran:

a) Cifrado y protección de datos: Para resguardar la confidencialidad y evitar accesos no autorizados, especialmente en industrias financieras, salud o e-commerce.

b) Gestión de accesos e identidades (IAM): Asignar privilegios mínimos, autenticar identidades con MFA, segmentar permisos.

c) Respaldos y recuperación: Copias automáticas, versiones históricas, accesos controlados y pruebas periódicas.

d) Segmentación de red y microsegmentación: Limitar el movimiento lateral de un atacante.

e) Zero Trust: El enfoque Zero Trust se resume así: “no confiar en nada, verificar todo”.
Hoy es clave en LATAM, posicionándose como el modelo más efectivo en entornos de alto riesgo.

f) Procedimientos administrativos: Políticas de contraseñas, uso de dispositivos, lineamientos para home office y gestión de proveedores críticos

Los controles no son solo herramientas: son prácticas que sostienen la integridad, disponibilidad y continuidad del negocio.

4. Gestión de incidentes como parte del plan

Un plan de seguridad es incompleto si no contempla qué hacer ante un incidente. La gestión de incidentes crea el marco que permite responder sin improvisación. El ciclo estándar incluye:

a) Preparación: Equipos designados, roles definidos, protocolos clarificados, pruebas periódicas.

b) Detección: Uso de SIEM, monitoreo 24/7, alertas inteligentes. El libro Fundamentos de la Ciberseguridad señala que la detección temprana es el factor más decisivo para reducir impacto económico.

c) Contención: Evitar que el ataque se expanda. Por ejemplo, aislar equipos afectados o cerrar accesos comprometidos.

d) Erradicación: Eliminar malware, reparar vulnerabilidades, restaurar configuraciones.

e) Recuperación: Volver a operar con normalidad, evaluar daños, restaurar servicios críticos.

Un hospital con servicios digitales sufre un ataque de ransomware que cifra sus sistemas de imágenes médicas.

• Sin detección temprana, pierde horas críticas.
• Sin un plan de contingencia, se detienen cirugías programadas.
• Sin respaldos, la recuperación puede tardar semanas.

Una gestión de incidentes bien diseñada puede ser la diferencia entre una interrupción controlada y una crisis institucional.

5. Monitoreo continuo y KPIs ejecutivos

El último paso es sostener el plan en el tiempo. Un plan de seguridad no es un documento estático: es un sistema vivo que debe adaptarse a amenazas, nuevas tecnologías, regulaciones emergentes y cambios en el modelo de negocio.

Hay algunos KPIs ejecutivos recomendados:

• MTTD (Mean Time to Detect): tiempo promedio para identificar un incidente.
• MTTR (Mean Time to Respond): tiempo para contenerlo y resolverlo.
• Porcentaje de activos críticos protegidos.
• Grado de cumplimiento normativo (por región o país).
• Número de vulnerabilidades críticas sin remediar.

Estos indicadores permiten que los directores y gerentes evalúen si el plan de seguridad de la información funciona o si necesita ajustes inmediatos.

El monitoreo permite demostrar la rentabilidad de la inversión en seguridad: menos incidentes, menos interrupciones, menor riesgo legal, más continuidad operativa.

Asimismo, los reportes trimestrales traducen la seguridad en lenguaje de negocio. Incluyen tendencias, amenazas emergentes, cumplimiento, incidentes relevantes, mejoras implementadas y riesgos prioritarios.

¿Cómo fortalecer tus conocimientos a través de formación ejecutiva?

La sofisticación de los ataques, la multiplicación de normativas y la creciente dependencia de procesos digitales colocan a la seguridad de la información en el centro de la estrategia empresarial. Pero ningún plan, por robusto que sea, puede sostenerse únicamente con tecnología o manuales actualizados.

La región atraviesa un escenario desafiante: según estudios referenciados por ISC² y EY, la escasez de talento especializado supera el 54%, lo que convierte la capacitación en un recurso crítico. Sin especialistas internos, las empresas quedan expuestas a dos riesgos:

• aplicar controles ineficientes,
• o depender en exceso de proveedores externos sin comprender completamente qué están contratando.

Al mismo tiempo, los ataques se volvieron más rápidos y silenciosos. La inteligencia artificial acelera el phishing, automatiza la explotación de vulnerabilidades y permite campañas masivas con un costo marginal. Sin líderes capacitados, detectar desviaciones, interpretar alertas o decidir cuándo escalar un incidente puede tomar demasiado tiempo.

La formación, entonces, no es “un curso más”; es un habilitador de resiliencia institucional. Capacitar a la alta dirección permite transformar la seguridad en una decisión estratégica, alineada al negocio y respaldada por criterios técnicos actualizados.

Competencias que debes dominar para liderar un SGSI

Un ejecutivo que hoy dirige equipos, plantas, unidades de negocio o procesos digitales necesita dominar un conjunto de habilidades que van más allá de la informática tradicional. Las competencias esenciales incluyen:

a) Gestión de riesgos y priorización: Comprender cómo evaluar amenazas, vulnerabilidades e impacto real. Saber leer un reporte CVSS, interpretar métricas y decidir qué remediar primero.

b) Marco regulatorio transversal: Conocer las obligaciones que se activan con cada incidente: GDPR, Ley 81, Ley 29.733, normativas financieras, requisitos de notificación.
Un error regulatorio puede costar más que el propio ataque.

c) Arquitectura de seguridad y Zero Trust: Un ejecutivo no necesita saber programar, pero sí entender los principios que sostienen modelos modernos de defensa, desde la segmentación hasta la autenticación continua.

d) KPIs y métricas ejecutivas: La seguridad también se gobierna con números. Los líderes deben leer KPIs como MTTD, MTTR, tasa de incidentes bloqueados o vulnerabilidades críticas sin parchear, traduciéndolos a impacto financiero.

e) Toma de decisiones bajo presión: Un ataque real exige claridad, calma y criterio: cortar servicios, aislar sistemas, notificar a clientes o activar el DRP. Estas decisiones no deben improvisarse.

f) Gestión del cambio y cultura interna: El mejor plan de seguridad fracasa si no se acompaña con cultura organizacional, comunicación y entrenamiento para usuarios.

Para que una organización implemente un SGSI eficiente, necesita líderes formados, con criterio técnico actualizado y visión estratégica. El Diplomado online en Ciberseguridad de ADEN fue diseñado precisamente para ese perfil: directores, gerentes, responsables de áreas críticas y profesionales que toman decisiones con impacto transversal.

El programa utiliza metodologías actuales en educación ejecutiva:

• Casos reales de empresas latinoamericanas, incluyendo escenarios de ransomware, incidentes regulatorios o paros operativos por fallas de disponibilidad.
• Simulaciones de crisis, donde los participantes deben decidir si desconectar sistemas, comunicar incidentes o activar contingencias.
• Herramientas de priorización, para que los líderes aprendan a distinguir qué riesgos atender primero.
• Modelos financieros para justificar inversiones, aplicando ROSI y evaluaciones costo–beneficio.
• Análisis comparado de políticas de seguridad de la información para distintos sectores (finanzas, retail, manufactura, salud).

Este enfoque permite que los participantes regresen a sus organizaciones con planes aplicables, no con teoría suelta.

Preguntas frecuentes finales

Este apartado reúne respuestas breves y precisas sobre conceptos esenciales que ayudan a comprender mejor el rol de la seguridad en la empresa moderna y cómo la formación ejecutiva puede fortalecer cualquier estrategia.