Gobierno de Seguridad de la Información:
Revisión de Literatura
Guido Alejandro Poma Ordóñez
Maestría en Tecnologías de la Información, Universidad Católica de Cuenca
Cuenca, Ecuador
gapomao@psg.ucacue.edu.ec
Resumen.- Actualmente con el advenimiento del internet de las
cosas (IoT), las nuevas tecnologías de la información y los servicios
de cloud computing, resulta imprescindible generar nuevas
formas de poder gestionar y proteger la información dentro de las
empresas u organizaciones. Se hace necesario la implementación
de nuevos procesos y estructuras empresariales las cuales vayan
en concordancia con la misión y visión de una empresa y que a su
vez generen políticas para el buen uso de la información en todas
las áreas de la empresa y en procesos de inicio y final. A estos
procesos bien definidos se los conoce como Gobierno de Seguridad
de la Información, y actualmente existen marcos de trabajo que
permiten créalos, modificarlos y mejorarlos de manera continua
hasta alcanzar un nivel óptimo de tratamiento de la información
objetivo buscado que debe ser buscado por toda empresa que
desea ser competitiva en este nuevo siglo.
Palabras clave: GTI, GSI, ISO/IEC 27001, ISO/IEC 27002, COBIT
5, ITIL.
I. INTRODUCCIÓN
A nivel de todo el mundo se considera a las Tecnologías
de la Información (TI) como una parte esencial para la creación
de prácticas comerciales a un nivel competitivo. Las empresas
invierten cada vez en TI, en consecuencia para sus directivos
resulta motivo de análisis la gestión de riesgos y optimización
de la inversión realizada en TI. En este punto la gestión a nivel
corporativo genera un valor esencial sobre las decisiones que
se puedan tomar acerca de las estrategias y despliegue de TI
[1]. Al conjunto de elementos de gestión corporativa de TI se
lo denomina Gobernanza de Tecnologías de la Información
(GTI), dicho término implica elementos estratégicos y
operativos. Las herramientas de análisis estratégico se llevan a
cabo para evaluar las mejores prácticas sobre dirección
aplicadas a las TI [1].
Un análisis enfocado a la gestión de la información al
interior de las empresas desemboca en una nueva terminología,
se trata de Gobierno de la Seguridad de la Información (GSI),
pero al tratar los distintos procedimientos para realizar la
gestión de la información algunos autores hablan de Gestión de
Gobierno de Seguridad de la Información [2]. La razón del
nacimiento de estas nuevas terminologías radica en la creciente
escalada de amenazas a la seguridad de la información
impulsada por factores como la navegación en dispositivos
móviles, la computación en la nube, el uso de redes sociales y
la creciente digitalización de los procesos empresariales [2].
Para poder explicar acerca de la GSI durante el desarrollo
del presente trabajo, se establecerá marcos de trabajo o guías de
trabajo las cuales se basan en aspectos de análisis como: nivel
de madurez de la seguridad de la información en las
organizaciones, riesgos dentro de los procesos, indicadores
operacionales, indicadores de cumplimiento, dificultades para
la implementación del GSI. El análisis de complementa con una
breve explicación de las normas para evaluar su cumplimiento
como son: COBIT y la ISO/IEC 27002 [3].
II. DESARROLLO DE CONTENIDOS
A. Definiciones Generales
 Gobernanza.- Se define como el acto de creación y
mantenimiento de una estructura corporativa eficiente. Para
lograr esto se integra personas, procesos y tecnología
creando una cultura organizacional apropiada para alcanzar
el éxito corporativo [3].
 Gobierno corporativo.- Este concepto se relaciona
directamente con la misión, visión y estrategia
organizacional, si uno de los elementos aquí descritos se
planifica o define incorrectamente, la empresa puede
desviarse de sus objetivos comerciales. El GSI también
hereda esta misma definición [3].
 Gobierno de seguridad de la información.- Se define como
el acto de dirigir y controlar una organización alineada con
la estrategia y los objetivos comerciales estableciendo una
cultura de seguridad de la información, optimizando los
procesos relacionados y asignando actividades a las
personas más competentes para llevar a cabo las acciones
necesarias [3].
B. Gobierno de Seguridad de la Información (GSI)
Así como las tecnologías de la información son
importantes en las actividades diarias de una organización, es
también importante para la infraestructura de tecnologías de la
información ser gobernada apropiadamente. El gobierno de TI
se debe enfocar en la alienación estratégica, la generación de
valor, gestión de riesgo la gestión de recursos. Gobernanza de
TI consiste también en la dirección, estructuras
organizacionales y procesos que aseguran que las tecnologías
de la información de la organización sostengan y extiendan las
estrategias de la organización y sus objetivos [4].
En toda empresa la información se caracteriza como un
elemento particularmente significante, en muchos casos puede
ser el centro de la economía, por tal motivo en necesaria su
protección usando las buenas prácticas que vienen dadas por el
Gobierno de la Seguridad de la Información (GSI). El GSI debe
promover las buenas prácticas de la seguridad de la
información a través de una dirección clara y debe proporcionar
una buena comprensión acerca de lo que las organizaciones
necesitan para tener un plan de seguridad de la información.
Dicho plan también debe reflejar las necesidades de la
organización. Las buenas prácticas de GSI deben incluir la
dirección estratégica y actividades que aseguren que las
directrices son implementadas y monitoreadas [4].
En toda organización se encuentra una junta directiva que
en última instancia es la responsable del éxito de una
organización, por tanto responsable de la protección de su
información. Dicha protección solo se podrá lograr a través de
una gestión eficaz solo se garantiza mediante una supervisión
efectiva de la junta [5].
C. Características del Gobierno de Seguridad de la
Información
Las actividades de GSI se enfocan en determinar la
habilidad de una organización para dirigir, vigilar y controlar
las acciones y procesos requeridos para proteger la información
digitalizada y documentada, así como a los sistemas de
información. También se considera las actividades para evitar
el acceso no autorizado, uso, descubrimiento, ruptura,
modificación o destrucción con el fin de proveer la
confidencialidad, integridad y disponibilidad (que lleva
implícito accesibilidad y usabilidad) [2]. A continuación una
breve explicación de cada concepto.
 Confidencialidad.- se encarga de asegurar la protección de
la información sensible de elementos como: ingreso no
autorizado e interceptación inteligible. La información no
debe salir de manera libre y estar disponible para
cualquiera. Solamente las personas o conjunto de personas
autorizados deben tener acceso a ella. Thomson and Von
Solms (2003), aseguran que la confidencialidad de la
información debe ser preservada mediante dos formas:
restricción de acceso y encriptación de la información [6].
 Integridad.- preservar la integridad de los recursos de
información significa mantener la exactitud y comprensión
de la información. Si la información no es exacta o completa
puede provocar decisiones desacertadas por parte de la
dirección ejecutiva, dichas decisiones consecuentemente
pueden generar situaciones no deseadas en una
organización, y esto es posible prevenir. La falta de
integridad en la información podría ser el resultado de la
modificación intencional de la información por parte de
personal no autorizado, o incluso una modificación
involuntaria mientras la información está guardándose, se
procesa o transmite. Una forma de mantener la integridad
de la información es mediante certificados digitales [6].
 Disponibilidad.- para que una organización pueda
conservar la disponibilidad de sus recursos de información,
debe asegurarse que tales recursos estén accesibles para su
uso por las partes autorizadas y en el momento correcto.
Para una organización es crucial mantener la disponibilidad
de la información y que esto permite a los directivos tomar
las decisiones en corto tiempo y poder tener una ventaja
competitiva. Una de las maneras más conocidas de vulnerar
la disponibilidad es mediante ataques de “DOS” durante el
cual se bombardea al sistema de información con una
cantidad grande de demandas reduciendo su capacidad de
respuesta y provocando caída del sistema [6].
D. Gestión de Cumplimiento y Gestión Operacional
El gobierno de seguridad de la información como se ha
manejado tradicionalmente en la mayoría de las empresas
abarca conceptos relacionados a la gestión de la seguridad
operacional así como varios aspectos relacionados a la creación
de políticas y procedimientos. Sin embargo, el aspecto de la
supervisión y aplicación del cumplimiento tal como lo requiere
el GSI no se han convertido en parte del rol tradicional de la
gestión de la seguridad de la información. Es necesario
establecer una diferenciación entre la gestión del cumplimiento
y la gestión operativa [7].
E. Gestión Operacional [7]
Esta parte del GSI siempre ha sido bastante bien entendida
y definida. Las actividades incluidas dentro de esta dimensión
son:
 Gestión de control de acceso lógico.- es decir acciones
reales de adición, cambio y eliminación desde las listas de
control de acceso.
 Gestión de identificación y autenticación.- es decir, las
acciones de adición, cambio y eliminación de ID de usuario
y archivos de contraseñas desde la base de datos.
 Gestión de firewall.- al momento de conectar estaciones de
trabajo a redes LAN e internet.
 Gestión de virus y software malicioso.- por medio de la
instalación y actualización de software antivirus.
 Manejo de antivirus e incidentes de seguridad relacionados.
 Configuración y actualización de configuraciones de
seguridad de estaciones de trabajo y servidores.
 Garantizar la disponibilidad a través de sistemas UPS.
 Garantizar copias de seguridad y su almacenamiento
seguro.
Existen un conjunto de aplicaciones de tipo no técnico que se
mencionan a continuación:
 La creación de políticas y procedimientos de seguridad de
la información.
 La creación de programas de sensibilización para que todos
los usuarios conozcan los riesgos que conlleva el uso de
sistemas de TI y los riesgos que implica.
 Mecanismos de cumplimiento para garantizar el
cumplimiento de todas las políticas y procedimientos para
que los riesgos de TI se gestionen adecuadamente.
F. Gestión de Cumplimiento [7]
Dentro de la gobernanza de la seguridad de la información, la
función de medición y aplicación del cumplimiento se ha
convertido en un componente muy importante de la gestión del
riesgo de TI en la empresa. Es similar a una función de auditoria
en la cual se identifica áreas de riesgo en el uso de las TI e
informar sobre el nivel de cumplimiento de políticas relevantes.
Las actividades de gestión de cumplimiento incluyen lo
siguiente:
 El nivel al que los riesgos de TI identificados previamente
son gestionados y mediados.
 El nivel de conciencia sobre la seguridad de la información
en los usuarios.
 La disponibilidad, integridad y amplitud de las políticas,
procedimientos y estándares de seguridad de la
información.
 El nivel de cumplimiento de tales políticas, procedimientos
y estándares.
 El impacto en la posición de riesgo de TI de la empresa
cuando las políticas no se cumplen.
 El cumplimiento de los requisitos reglamentarios, legales y
estatutos.
 Problemas de licencia de software.
G. Características de un Framework para el Gobierno de
Seguridad de la Información [2]
De acuerdo a los autores Carcary, Renaud, McLaughlin y
O’Brien (2016), un framework para el gobierno de seguridad
de la información se compone de seis actividades de alto nivel
que se mencionan a continuación:
 Gobernanza.- proporciona las estructuras de supervisión
para apoyar al GSI, implementa estrategias, políticas y
controles. Asigna roles y responsabilidades para las
actividades, informa sobre las acciones efectivas y gestiona
los requisitos de seguridad del proveedor.
 Seguridad técnica.- establece una arquitectura de seguridad
e implementa medidas para administrar los componentes de
TI y la seguridad de la infraestructura física.
 Gestión de recursos de seguridad.- proporciona
presupuestos, herramientas y recursos de seguridad, mide la
efectividad de los recursos en inversiones de seguridad.
 Control de riesgo de seguridad.- genera perfiles sobre
amenazas de seguridad y evalúa, prioriza, maneja y
monitorea los riesgos relacionados con la seguridad.
 Administración de datos de seguridad.- define la
clasificación de seguridad de los datos y brinda orientación
sobre cómo administrar los derechos de acceso y los datos
a lo largo del ciclo de vida.
 Planes de gestión de continuidad del negocio.- prueba las
medidas de seguridad de continuidad del negocio y gestiona
las aportaciones de seguridad en la gestión de incidentes.
H. Perfiles de Madurez de un Framework para el
Gobierno de Seguridad de la Información
Tomando en cuenta las características aplicables a un
Framework, los autores Carcary, Renaud, McLaughlin y
O’Brien (2016) establecen cinco niveles de madurez que sirven
como guía para saber la capacidad de Gestión y Gobierno de
Seguridad de la Información, también sirven para evidenciar
los puntos en los cuales se debe mejorar. A continuación se
ofrece una breve explicación de los niveles de madurez:
 Inicial.- se caracteriza por utilizar la definición de estrategia
“ad hoc”, políticas y estándares de seguridad de la
información. El entorno físico y la seguridad de los
componentes solo se abordan localmente. No hay una
consideración explícita de los requisitos presupuestarios
para las actividades de seguridad de la información, no hay
una gestión sistemática de los riesgos de la seguridad. Los
permisos de acceso y la seguridad de los datos a lo largo del
ciclo de vida se gestionan en el mejor de los casos utilizando
procedimientos informales. Del mismo modo los incidentes
de seguridad se gestionan de forma “ad hoc” [2].
 Básico.- el nivel dos de madurez refleja la vinculación de
una estrategia básica de seguridad de la información con las
estrategias del negocio y de TI y la capacidad de respuesta
a necesidades individuales. También implica el desarrollo y
revisión de políticas y estándares de seguridad de la
información, pero esto generalmente después de que se
presenten incidentes importantes. Las guías para seguridad
de los componentes de TI y del entorno físico recién están
surgiendo. Los requisitos de seguridad de alto nivel se
especifican para las principales compras de software y
hardware. Se establece un proceso básico de gestión de
riesgos de seguridad dentro de TI basado en el riesgo
percibido. La gestión de los permisos de acceso depende de
las soluciones suministradas por el proveedor. Los
principales incidentes de seguridad se rastrean y registran
dentro de del departamento encargado de TI [2].
 Intermedio.- este nivel de madurez refleja una estrategia de
seguridad de la información detallada que se alinea
regularmente con las estrategias de negocio y de TI. Las
políticas y estándares de seguridad de la información se
desarrollan y revisan en base a un proceso definido y de
retroalimentación periódica. Existen medidas de seguridad
 de componentes de TI. El proceso presupuestario de TI
incluye a las solicitudes más importantes de su propia
infraestructura y de algunas otras unidades de negocio. El
proceso de gestión de riesgos de seguridad es proactivo y se
comparte conjuntamente con la colaboración de otras áreas
de la empresa. El control de acceso se otorga en base a un
proceso de autorización formal y auditado. Se implementan
procesos detallados para administrar la seguridad de los
datos a lo largo de su proceso de vida. Los incidentes de
seguridad se administran en función de la urgencia que haya
de restaurar los servicios [2].
 Avanzado.- este nivel se caracteriza por regular de mejor
manera los procesos de seguridad de la información
alineada con las estrategias de negocio, políticas y
estándares. Las medidas de seguridad de los componentes
de TI se implementan y aprueban en toda la empresa en
busca de amenazas, detección y mitigación. La seguridad
del entorno físico está integrada con los controles de acceso
y los sistemas de vigilancia en toda la empresa. Los
requisitos detallados del presupuesto de seguridad se
incorporan en las actividades de planificación empresarial
y del presupuesto de toda la empresa. El proceso
estandarizado de gestión de riesgos de seguridad de la
información se alinea con un proceso de gestión de riesgos
de toda la empresa. Los permisos de acceso se implementan
y auditan en toda la empresa. Los datos se conservan
efectivamente a lo largo de su ciclo de vida y su
disponibilidad se gestiona efectivamente para cumplir con
los requisitos comerciales, normativos y de seguridad. Los
incidentes recurrentes son sistemáticamente abordados en
toda la empresa a través de procesos de gestión de
problemas que se basan en el análisis del origen de la causa
[2].
 Optimización.- este nivel refleja una estrategia de seguridad
de la información que se alinea regularmente con las
estrategias comerciales y de TI. Las políticas y estándares
de seguridad de la información se revisan periódicamente y
revisan en base al aporte del ecosistema empresarial. La
gestión de los componentes de TI está optimizada en todas
las capas del marco de seguridad. Los controles de acceso
se mejoran continuamente. Se define mejor el presupuesto
de seguridad acorde a las necesidades presentes y futuras.
El proceso de gestión de riesgos de seguridad es ágil y
adaptable, las herramientas se pueden utilizar para abordar
los requisitos del ecosistema empresarial. Los procesos para
gestionar la seguridad de los datos a lo largo de su ciclo de
vida se mejoran constantemente [2].
I. Framework Aplicables al Gobierno de Seguridad de
la Información
A continuación se realiza una breve explicación de los marcos
de trabajo más importantes que permiten realizar una
implementación, puesta en funcionamiento, evaluación y
manejo de buenas prácticas para un GSI.
 ISO/IEC 27001.- se trata de un estándar que instruye a los
administradores de TI sobre cómo construir, operar,
mantener y mejorar un Sistema de Gestión de Seguridad de
la Información conocido por sus siglas en inglés como
“ISMS” con el objetivo de preservar la seguridad de la
información mantenida dentro de la empresa. ISO/IEC
27001 reemplaza a la segunda parte del estándar BS7799 el
cual explica cómo implementar un enfoque de seguridad en
una empresa. ISO/IEC 27001 incorpora las partes básicas
de BS7799-2 con un esquema de certificación particular de
madurez y mejora. Así ISO/IEC 27001 complementa a
ISO/IEC 27002 acerca de cómo ayudar a los
administradores de las organizaciones a establecer y
mantener un ISMS efectivo usando un reconocido modelo
de mejora continua basado en el Ciclo de Deming [8].
 ISO/IEC 27002.- se trata de un marco de trabajo para el GSI
con una orientación técnica hacia la gestión de la seguridad.
Dicho estándar concretamente es un manual de buenas
prácticas para la gestión de la seguridad y ampliamente
utilizado en Norte América y Europa. ISO/IEC 27001 e
ISO/IEC 27002 son complementarios. ISO/IEC 27001
describe como crear y mejorar un GSI, pero no especifica
los elementos que constituirán al sistema. En esta parte es
donde ISO/IEC 27002 se encarga de listar y combinar los
elementos necesarios para crear un GSI [8].
 COBIT.- se trata de un conjunto de directrices generales o
mejores prácticas para la gestión de TI y fue creada por la
Asociación de Auditoría y Control de Sistemas (ISACA) y
el Instituto de Gobernanza para TI (IGTI) en el año 1996.
COBIT ofrece a los gerentes, auditores y usuarios de TI un
conjunto de medidas, indicadores y procesos y mejores
prácticas generalmente aceptados para ayudarlos a
maximizar los beneficios derivados del uso de TI y el
desarrollo de un gobierno y control adecuados en una
empresa [9].
Dentro de este ámbito ha surgido el estándar COBIT 5, el
cual se trata de un marco único e integrado con varios
estándares y mejoras prácticas relacionadas con TI, integra
todo el conocimiento del marco de ISACA. Proporciona
una orientación y una vista de seguridad de extremo a
extremo. Ayuda a las empresas a administrar los riesgos y
garantizar el cumplimiento, la continuidad, la seguridad y
la privacidad. Este marco respalda los activos de TI y los
objetivos del negocio para ayudar a garantizar que los
sistemas de información cumplan con los controles de
riesgos necesarios [10].
 ITIL.- se trata de un código de buenas prácticas para la
gestión de procesos de TI. Actualmente en la versión 3,
ITIL es una colección de libros que identifican, resume y
detalla las mejores prácticas para la gestión de servicios de
TI que, se centra en alinear los servicios de TI con las
necesidades de la empresa [8].
 III. CONCLUSIONES
El presente artículo se ha centrado en mostrar como el Gobierno
de Seguridad de la Información permite generar una mejora
continua en la empresa u organización que decide
implementarlo. Gracias al GSI es posible detectar posibles
vulnerabilidades dentro de los sistemas de información y ante
esto poder actuar de manera eficiente. El GSI permite
establecer procesos y estructuras de trabajo que incluyen a
todas las áreas de la empresa, generar manuales de buenas
prácticas para el manejo de la información, tener mejoras
continuas por medio de evaluaciones. Así mismo es posible
aplicar marcos de trabajo los cuales permiten crear, modificar
y mejorar los planes para la implementación de GSI.
En los actuales momentos con la aparición de nuevas
tecnologías de conectividad, transporte y almacenamiento de la
información, resulta necesario definir buenas prácticas para el
tratamiento de la información. Dichas prácticas deben tener el
visto bueno de la junta directiva de una empresa o el CEO que
se encarga de tomar las decisiones. Los CIO del área de TI
tienen la obligación de informar y hacer entender de la mejor
manera a sus directivos superiores acerca de la necesidad de
preservar y proteger la información de inicio a fin así como
obligar a sus prestadores de servicios en la nube cumplir con la
normativa establecida en los diferentes estándares y
Framework aplicable a la seguridad de la información.
Trabajando de esta manera conjunta se podrá alcanzar el nivel
competitivo que exige este nuevo siglo y de esta manera poder
brindar un servicio de calidad hacia los usuarios que sabrán que
su información tiene un tratamiento adecuado y seguro.
Secur., vol. 23, no. 8, pp. 638–646, 2004.
[7] S. H. Von Solms, “Information Security Governance -
Compliance management vs operational
management,” Comput. Secur., vol. 24, no. 6, pp.
443–447, 2005.
[8] M. Zaydi and B. Nasserddine, “Information system
security governance: Technology intelligence
perspective,” 2016 Int. Conf. Adv. Commun. Syst. Inf.
Secur. ACOSIS 2016 - Proc., 2017.
[9] Y. Durachman, Y. Chairunnisa, D. Soetarno, A.
Setiawan, and F. Mintarsih, “IT security governance
evaluation with use of COBIT 5 framework: A case
study on UIN Syarif Hidayatullah library information
system,” 2017 5th Int. Conf. Cyber IT Serv. Manag.
CITSM 2017, 2017.
[10] H. Laksono and Y. Supriyadi, “Design and
Implementation Information Security Governance
Using Analytic Network Process and COBIT 5 For
Information Security A Case Study of Unit XYZ,”
2015 Int. Conf. Inf. Technol. Syst. Innov., no. 1, pp.
16–19, 2015.

IV. REFERENCIAS

[1] M. Asgarkhani, E. Correia, and A. Sarkar, “An

overview of information security governance,” 2017
Int. Conf. Algorithms, Methodol. Model. Appl. Emerg.
Technol., pp. 1–4, 2017.
[2] M. Carcary, K. Renaud, S. McLaughlin, and C.
O’Brien, “A Framework for Information Security
Governance and Management,” IT Prof., vol. 18, no.
2, pp. 22–30, 2016.
[3] G. a. D. O. Alves, L. F. R. D. C. Carmo, and a. C. R.
D. De Almeida, “Enterprise Security Governance; A
practical guide to implement and control Information
Security Governance (ISG),” 2006 IEEE/IFIP Bus.
Driven IT Manag., vol. 00, no. C, pp. 71–80, 2006.
[4] R. Von Solms, K. L. Thomson, and P. M. Maninjwa,
“Information security governance control through
comprehensive policy architectures,” 2011 Inf. Secur.
South Africa - Proc. ISSA 2011 Conf., pp. 11–16,
2011.
[5] R. von Solms and S. H. (Basie) von Solms,
“Information security governance: Due care,”
Comput. Secur., vol. 25, no. 7, pp. 494–497, 2006.
[6] S. Posthumus and R. Von Solms, “A framework for
the governance of information security,” Comput.