jueves, junio 12, 2025
Ciberseguridadtic
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Almuerzos TAI
      • Menos riesgos, más control: Descubre cómo simplificar la gestión de proveedores 2025
      • La videocolaboración segura como palanca estratégica: soberanía, interoperabilidad e inteligencia artificial 2025
      • Identidad digital: clave en la gestión de riesgos y cumplimiento normativo 2024
      • Desenmascarando al enemigo, Threat Attribution Engine y servicios de IA aplicada 2024
      • Colaboración segura nunca compromete la seguridad 2024
      • Unificar para identificar 2023
      • Transformando el comportamiento de los usuarios 2023
    • Debates TAI
      • El futuro es ahora: Innovación, regulación y seguridad en la era digital 2025
      • Debate endpoints: XDR, IoT 2025
      • DSPM la nueva frontera de la seguridad de los datos 2025
      • Tendencias de ciberseguridad 2025
      • La seguridad empieza por la identidad 2024
      • Debate MDR 2024
      • Debate CSPM – CNAPP 2024
      • SASE: Protegiendo su negocio en un mundo cada vez más conectado 2024
      • Debate ciberinteligencia 2024
      • Debate seguridad OT 2024
      • Debate ransomware 2024
      • Debate seguridad en movilidad 2024
      • Debate seguridad sector sanitario 2024
      • Debate Zero Trust 2024
      • Debate seguridad de las aplicaciones 2023
  • Reportajes

    DES 2025: visión de mercado desde el corazón la innovación empresarial

    IA agéntica, motor de adquisiciones y lanzamientos

    Seguridad para la inteligencia artificial: el nuevo frente crítico

    Xanthorox AI: El cibercrimen entra en la era de la autonomía total

  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
    • BLINDANDO EL FUTURO DIGITAL EN UN MUNDO INTERCONECTADO
    • LA INNOVACIÓN COMO ALIADA DE LA CIBERSEGURIDAD
    • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
    • INNOVACIÓN DISRUPTIVA
  • Suscripciones
No Result
Ver todos los resultados
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Almuerzos TAI
      • Menos riesgos, más control: Descubre cómo simplificar la gestión de proveedores 2025
      • La videocolaboración segura como palanca estratégica: soberanía, interoperabilidad e inteligencia artificial 2025
      • Identidad digital: clave en la gestión de riesgos y cumplimiento normativo 2024
      • Desenmascarando al enemigo, Threat Attribution Engine y servicios de IA aplicada 2024
      • Colaboración segura nunca compromete la seguridad 2024
      • Unificar para identificar 2023
      • Transformando el comportamiento de los usuarios 2023
    • Debates TAI
      • El futuro es ahora: Innovación, regulación y seguridad en la era digital 2025
      • Debate endpoints: XDR, IoT 2025
      • DSPM la nueva frontera de la seguridad de los datos 2025
      • Tendencias de ciberseguridad 2025
      • La seguridad empieza por la identidad 2024
      • Debate MDR 2024
      • Debate CSPM – CNAPP 2024
      • SASE: Protegiendo su negocio en un mundo cada vez más conectado 2024
      • Debate ciberinteligencia 2024
      • Debate seguridad OT 2024
      • Debate ransomware 2024
      • Debate seguridad en movilidad 2024
      • Debate seguridad sector sanitario 2024
      • Debate Zero Trust 2024
      • Debate seguridad de las aplicaciones 2023
  • Reportajes

    DES 2025: visión de mercado desde el corazón la innovación empresarial

    IA agéntica, motor de adquisiciones y lanzamientos

    Seguridad para la inteligencia artificial: el nuevo frente crítico

    Xanthorox AI: El cibercrimen entra en la era de la autonomía total

  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
    • BLINDANDO EL FUTURO DIGITAL EN UN MUNDO INTERCONECTADO
    • LA INNOVACIÓN COMO ALIADA DE LA CIBERSEGURIDAD
    • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
    • INNOVACIÓN DISRUPTIVA
  • Suscripciones
No Result
Ver todos los resultados
Ciberseguridadtic
No Result
Ver todos los resultados

Inicio Opinión

10 errores comunes al implementar un SGSI

Alexey Komlev, ICT Global Technical Hub Manager en DNV, comparte en este artículo su opinión sobre las razones por las que se producen los errores más comunes a la hora de implementar un sistema de gestión de seguridad de la información (SGSI).

EditorialPor: Editorial
noviembre 17, 2023 - Actualizado en diciembre 11, 2023
1k
Visualizaciones
TwitterLinkedin

Por Alexey Komlev, ICT Global Technical Hub Manager en DNV

Durante mi trayectoria laboral en el campo de las auditorías de seguridad de la información, he visto todo tipo de situaciones, desde no entender qué significa la seguridad de la información como concepto hasta hacer un uso indiscriminado de las últimas tecnologías y herramientas de seguridad de la información.

Como auditor de diferentes normas de certificación, podría compartir múltiples anécdotas e historias inusuales, e incluso absurdas, que me han pasado durante estos últimos 10 años, pero que, por las razones obvias, no puedo desvelar. Sin embargo, lo que sí puedo compartir es mi opinión sobre las razones por las que se producen aquellos errores más comunes a la hora de implementar un sistema de gestión de seguridad de la información (SGSI). En este artículo, intentaré utilizar el menor número posible de tecnicismos y advierto al lector de que cualquier coincidencia con situaciones ocurridas en empresas reales es pura casualidad.

1.  Error: “Si funciona – no lo toques!”

Muy a menudo, una tecnología o herramienta de protección ha estado en uso en un sistema corporativo durante años sin ningún cambio o intervención por parte del personal técnico. No se instalan las actualizaciones o los parches, no se comprueban las vulnerabilidades o la configuración «histórica» que permite el acceso anónimo desde una red externa, etc.

“Va bien, ¿Por qué tengo que tocarlo?”

Cualquier hardware o software debe ser verificado periódicamente para ver su correcto funcionamiento y actualizaciones aplicables. En un SGSI la regla de “si funciona – no lo toques” no funciona. Un sistema de protección debe ser analizado y monitorizado a diario.

SGSI es verificar.

2. Error: “Mi ordenador es lo más importante”

Incluso en las grandes empresas, las actividades de seguridad de la información suelen realizarse únicamente en el marco de los procesos informáticos, sin tener en cuenta los demás componentes: la protección jurídica, organizativa, humana, etc.

“Si mi ordenador está protegido – ¡el resto no importa!”

La seguridad informática (todo tipo de soluciones digitales actuales) es estupenda y necesaria, pero cuando no hay un marco, unos procesos establecidos o unos planes claros de gestión y desarrollo del #SGSI, todas estas actividades no producen los resultados deseados. En algunos casos, incluso puede ser perjudicial.

SGSI es diseñar.

3. Error: “¿Qué hago después de la implementación?”

Hay muchos ejemplos de estos errores en la vida real: un cliente implementa un sofisticado software de prevención de pérdida de datos (DLP) o un sistema de gestión de eventos (SIEM), invierte miles de euros y espera un milagro. Pero los milagros no existen.

“Ya lo tengo ¿Y ahora qué?”

Este tipo de sistemas, al igual que cualquier otra herramienta de seguridad informática, requiere de un mantenimiento constante: actualización, parcheo, seguimiento, automatización, etc. Si no se establecen todos esos “procesos secundarios”, los costosos elementos de seguridad que se implementen no servirán de nada.

SGSI es actualizar.

4. Error: “La obsesión mata”

Algunos expertos en protección de datos (y de hecho la mayoría de personas) a menudo tienden a exagerar la magnitud del problema y tratan de proteger todo de todo. Eso es un error.

“¡Otra vez la VPN!”

Un exceso de protecciones innecesarias es tan malo como la falta de ellas. Al final conseguimos que los usuarios, obligados a adaptarse a un entorno incómodo, pierdan tiempo, dinero y salud. En el mejor de los casos, el resultado será la rotación de personal y, en el peor, el sabotaje deliberado del sistema de seguridad por un empleado o exempleado. Todo tiene que estar alineado con el contexto de la organización.

SGSI es alinear.

5. Error: “1, 2, 3, priorización”

Cuando tenemos varios frentes abiertos en la gestión de la seguridad de la información a veces es muy difícil priorizar.

“¿Qué es lo más crítico? ¿Por dónde empiezo?”

En este caso hablamos de orientar al propietario del sistema y/o al especialista en TI hacia ciertos nodos del sistema que afectan más a otros activos. Es necesario llevar a cabo un análisis de riesgo total/parcial del proceso/negocio.

Esto ayudará a priorizar de forma más coherente e implementar una correcta planificación de las acciones de protección en todos los segmentos del sistema de información: equipos, canales de transmisión de información, procesos y personal.

SGSI es priorizar.

6. Error: “Todo va bien”

Cuando una empresa lleva más de un año en el mercado, las actividades de protección de datos se han llevado a cabo durante el mismo tiempo y a menudo por las mismas personas. En este escenario, no se producen incidentes críticos, los jefes están contentos y la gente se acostumbra al modo de trabajo.

“¡Todo va bien!”

Si en una situación así nos limitamos a seguir la corriente y no realizamos comprobaciones periódicas del sistema de seguridad, corremos el riesgo de que cuando surjan problemas reales no estemos preparados para hacerles frente. La solución es sencilla: debemos ejecutar auditorías externas o internas de verificación de toda SGSI o únicamente de algunos procesos. Esto, sin duda, ayudará a ver la situación desde fuera, detectar las brechas o errores y, como resultado final, mejorar el sistema de gestión de seguridad de la información.

SGSI es auditar.

7. Error: “Tapando agujeros”

Si las actividades de SGSI de una empresa se consideran operativas, sin la estrategia y las tácticas adecuadas, toda la seguridad de la información se reducirá a que los usuarios trabajen con instrucciones escritas de hace diez años. Tratarán los mismos problemas, eventos y errores usando las mismas herramientas. En estos casos, las causas de los incidentes de seguridad pueden ser ignoradas (concepto “¡No lo veo, no existe!”) o malinterpretadas (“¡Algo pasa con mi ordenador, pero no sé qué es!”).

Al final, con este enfoque la empresa acabará cometiendo los mismos errores. Hay que recordar que una adecuada planificación y un buen análisis de los problemas permite una resolución precoz de los mismos.

SGSI es analizar.

8. Error: “Zona de confort”

Las buenas prácticas o el hábito de utilizar sólo ciertos productos “por defecto” impide a una organización siquiera considerar lo que ofrecen otras empresas o proveedores. Por ejemplo, las soluciones open source (software de código abierto) son herramientas que no suelen considerarse como posibles soluciones.

“¡Mi herramienta actual es la más segura!”

Las normas y la fijación por determinados productos no siempre son perjudiciales. En ocasiones, podemos encontrar una solución en un momento dado y para un sistema en concreto pero que va en contra de las normas y los hábitos establecidos. En esos casos, merece la pena no descartar esa opción de inmediato.

Hay que salir de la zona de confort y probar nuevas tecnologías, sistemas o herramientas. Eso sí, siempre analizando los riesgos asociados (el famoso Risk Analysis).

SGSI es arriesgarse.

9. Error: “Factor humano”

Por desgracia, uno de los errores más típicos y triviales es el conocido factor humano. Los sistemas se construyen por unos expertos en materia que también son personas. Durante el proceso de creación de una SGSI aparecen nuevas reglas, procedimientos, buenas prácticas, etc.

“¡Nadie me ha dicho esto!”

Sin embargo, no toda esta información se trasmite adecuadamente a los empleados (usuarios finales). Es esencial formar e informar a todos los empleados de las reglas básicas de seguridad de la información.

SGSI es enseñar.

10. Error: “Factor Top Management”

Punto 5.1 de la ISO27001: “La alta dirección debe demostrar liderazgo y compromiso con respecto al Sistema de Gestión de Seguridad de la Información”. Para mí, este punto es el más crítico. Si la dirección no se preocupa por la seguridad de la información y, lo más importante, si no cree en ella, jamás podrá construir un sistema de seguridad que funcione.

“¿Para qué es esto? Esto nunca ha pasado.”

Es un hecho triste, pero cierto: en algunas organizaciones es necesario aplicar más energía y tiempo internamente para implementar los cambios en SGSI.

SGSI es liderar.

Ciberseguridad: una asignatura pendiente para las empresas

Me gustaría hacer hincapié en que todos los problemas descritos en este artículo se dan tanto en pequeñas empresas como en grandes corporaciones, es decir, donde no hay ni siquiera un especialista cualificado, o donde existen departamentos de seguridad de la información específicos.

De hecho, todos los problemas y errores pueden reducirse a tan sólo uno: la falta de un enfoque orientado a un análisis competente y a una evaluación de riesgos en todos los niveles y procesos de una empresa.

Recordad que un SGSI no es un simple “nuevo” antivirus, sino un conjunto de procesos operativos y herramientas tecnológicas.

Empresas especializadas en Seguridad de la Información y con presencia internacional como DNV pueden ayudarte a hacer frentes a los retos que supone la optimización del sistema de gestión de seguridad de la información de tu empresa.

Alexey Komlev, ICT Global Technical Hub Manager en DNV

 

Tags: DNV

DESTACADO

Entrevistas

Redtrust: “La criptoagilidad debe ser invisible para el usuario, pero esencial para la empresa”

junio 10, 2025 - Actualizado en junio 11, 2025

La llegada de la computación cuántica ya no es una posibilidad remota, sino un desafío real que empieza a condicionar...

Leer másDetails
Actualidad Infraestructura

Asegurar el futuro en la era de la IA: la apuesta de Microsoft por una ciberseguridad inteligente, responsable y europea

junio 12, 2025

Durante el Microsoft Security Summit España celebrado en Madrid, Microsoft reafirmó su apuesta por la ciberseguridad como pilar estratégico, profundizando...

Leer másDetails
Sincategoria

DLP en tiempo real: cómo Symantec detecta y bloquea riesgos con IA en acción

junio 11, 2025

La inteligencia artificial generativa ha llegado para quedarse. En muy poco tiempo, ha pasado de ser una promesa a convertirse...

Leer másDetails
Destacado

Más allá del perímetro: cómo Symantec DLP protege los datos en la nube y el puesto de trabajo

junio 4, 2025 - Actualizado en junio 5, 2025

Los datos ya no viven dentro de un único perímetro. Con el auge del trabajo híbrido, las aplicaciones SaaS y...

Leer másDetails
Entornos

Factum: “La mediana empresa tiene que madurar mucho en seguridad, pero no saben cómo hacerlo”

septiembre 2, 2024 - Actualizado en septiembre 17, 2024

Factum es una empresa española. Nació en 2009 como compañía integradora especializada en todos los ámbitos de la seguridad IT...

Leer másDetails
Destacado

Luis Pérez Pau (FutuRS): “La seguridad total es incompatible con el modelo actual”

junio 1, 2025 - Actualizado en junio 2, 2025

Luis Pérez Pau reflexiona sobre la evolución del rol del CISO, el impacto de la inteligencia artificial en el sector...

Leer másDetails
Entornos

“Sophos es la opción más sencilla, completa y consistente para cumplir con NIS2”

septiembre 2, 2024 - Actualizado en febrero 26, 2025

En un panorama de amenazas en constante evolución, las empresas no solo deben hacer frente a la seguridad de sus...

Leer másDetails
Entrevistas

C1b3rwall 2025: Talento, vocación y colaboración frente al cibercrimen

mayo 30, 2025

La próxima semana, el 3, 4, 5 y 6 de junio, la Escuela Nacional de Policía de Ávila acogerá una...

Leer másDetails
Actualidad Infraestructura

Proteger la IA y proteger con IA: la doble apuesta estratégica de Cisco en ciberseguridad

mayo 5, 2025 - Actualizado en junio 4, 2025

En los últimos meses, Cisco ha dejado claro que la inteligencia artificial no sólo está cambiando la forma en que...

Leer másDetails
Sincategoria

La inteligencia artificial empodera la oferta de HP en el entorno del puesto de trabajo

septiembre 4, 2024

La inteligencia artificial se ha integrado en la oferta de HP en el entorno, crítico, del puesto de trabajo. Ordenadores,...

Leer másDetails
Sincategoria

HP avanza en su objetivo de conseguir un mundo más justo y sostenible

septiembre 18, 2024

Recientemente HP publicó su Informe de Impacto Sostenible 2023 donde se detallan los avances alcanzados por la compañía en materia...

Leer másDetails

SOBRE NOSOTROS

CiberseguridadTIC es una publicación de T.a.i. Editorial con información y análisis para las empresas y profesionales de seguridad

Contáctanos: correo@taieditorial.es

SÍGUENOS EN:

T.a.i. Editorial S.A. ®, marca registrada 2023 | Aviso Legal | Política de Privacidad | Política de Cookies | Anúnciese aquí

No Result
Ver todos los resultados
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Almuerzos TAI
      • Menos riesgos, más control: Descubre cómo simplificar la gestión de proveedores 2025
      • La videocolaboración segura como palanca estratégica: soberanía, interoperabilidad e inteligencia artificial 2025
      • Identidad digital: clave en la gestión de riesgos y cumplimiento normativo 2024
      • Desenmascarando al enemigo, Threat Attribution Engine y servicios de IA aplicada 2024
      • Colaboración segura nunca compromete la seguridad 2024
      • Unificar para identificar 2023
      • Transformando el comportamiento de los usuarios 2023
    • Debates TAI
      • El futuro es ahora: Innovación, regulación y seguridad en la era digital 2025
      • Debate endpoints: XDR, IoT 2025
      • DSPM la nueva frontera de la seguridad de los datos 2025
      • Tendencias de ciberseguridad 2025
      • La seguridad empieza por la identidad 2024
      • Debate MDR 2024
      • Debate CSPM – CNAPP 2024
      • SASE: Protegiendo su negocio en un mundo cada vez más conectado 2024
      • Debate ciberinteligencia 2024
      • Debate seguridad OT 2024
      • Debate ransomware 2024
      • Debate seguridad en movilidad 2024
      • Debate seguridad sector sanitario 2024
      • Debate Zero Trust 2024
      • Debate seguridad de las aplicaciones 2023
  • Reportajes
  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
    • BLINDANDO EL FUTURO DIGITAL EN UN MUNDO INTERCONECTADO
    • LA INNOVACIÓN COMO ALIADA DE LA CIBERSEGURIDAD
    • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
    • INNOVACIÓN DISRUPTIVA
  • Suscripciones

© 2025 JNews - Premium WordPress news & magazine theme by Jegtheme.

Este sitio web almacena cookies técnicas esenciales para el buen funcionamiento de la página. Estas cookies sirven para mejorar nuestro sitio web y poder ofrecer su funcionalidad completa. No utilizamos cookies de seguimiento para publicidad, ni para redes sociales, ya que cuando comparte información con una red social, será al entrar en ésta cuando le pidan el consentimiento a esas cookies. Para conocer más acerca de las cookies que utilizamos, pulse en Política de cookies. Puede visitar nuestra política de privacidad para saber más sobre el tratamiento de sus datos Política de privacidad. Pulse en aceptar, para minimizar