Contenido del curso
Políticas y Estándares Clave en Ciberseguridad
Proteger una organización no depende solo de la tecnología, sino de contar con políticas internas sólidas y apoyarse en estándares reconocidos que guíen cada decisión de seguridad. Conocer las diferencias entre marcos como ISO 27001, NIST Cybersecurity Framework, CIS Controls y GDPR permite elegir la combinación adecuada para reducir riesgos y cumplir con la ley.
¿Qué políticas internas fortalecen la ciberseguridad de una organización?
Toda empresa necesita reglas claras que todos los colaboradores deben cumplir. Estas reglas se materializan en políticas de seguridad que cubren áreas críticas del día a día [0:08]:
Estas políticas son el primer escudo, pero se potencian cuando se alinean con estándares internacionales que aportan estructura y credibilidad.
¿Por qué ISO 27001 y NIST Framework son referentes en seguridad informática?
La norma ISO 27001 es uno de los estándares más conocidos y respetados a nivel mundial [1:08]. Funciona como un sistema de gestión de seguridad de la información (SGSI) completo: incluye procedimientos, políticas, controles y herramientas que optimizan la protección de datos. Sus beneficios principales son:
Por otro lado, el NIST Cybersecurity Framework ofrece una estrategia basada en cinco funciones clave [2:18]:
¿Cómo complementan los CIS Controls al framework NIST?
Los CIS Controls, creados por el Center for Internet Security, son controles muy específicos que se aplican de forma física y lógica en los sistemas [3:32]. A diferencia del NIST Framework —que plantea una estrategia global—, los CIS Controls detallan acciones concretas. Ambos marcos se complementan perfectamente.
Un punto distintivo de los CIS Controls es que ofrecen guías de hardenización para sistemas operativos específicos como Windows 10, Windows 11 o Windows Server 2012 [3:58]. Estos documentos indican paso a paso cómo endurecer la configuración de cada sistema para reducir su superficie de ataque.
¿Qué impacto tiene el GDPR en las empresas?
El GDPR (General Data Protection Regulation) es una legislación europea que obliga a las empresas a cumplir estrictas normas de protección de datos [4:16]. Entre sus disposiciones más relevantes destacan:
Estas cifras evidencian que el costo de no cumplir con la normativa puede superar con creces la inversión en ciberseguridad.
Ahora que conoces estos estándares y su impacto, ¿cuál consideras más relevante para tu organización? Comparte tu opinión en los comentarios.
Carlos Montes
student
Jose Ricardo Dueñas Suarez
student
Carlos Buendia
studentDiego Fernando Molina Guzmán
student
Edwin Perafan Grajales
studentCesar Fabian Lancheros Currea
student
Javier Ramos
student
Henry Otalora Suavita
studentHenry Otalora Suavita
student
Daniel Alfredo García Serna
student
RODRIGO MOGOLLON HORTUA
studentMaria Janeth Rodas
student
Myriam Rocio Romero Segura
studentAlejandro Romero Romero
studentjose david Buitrago Cano
student
Jose Luis López
student
Monica Patricia Caro Herrera
student
Javier Alvarez
student
Javier Alvarez Tarazona
student
Isaías Quintero MARIZANCEN
studentMonica Patricia Caro Herrera
student
Francisco Daniel Carvajal Becerra
teacherMonica Patricia Caro Herrera
studentgracias
Los estándares de ciberseguridad son marcos y normas reconocidos internacionalmente que guían a las organizaciones en la implementación de medidas de seguridad. Algunos de los más importantes incluyen:
De la teoría a la práctica he identificado que quienes más relevancia le dan a el factor ciberseguridad, son especialmente el equipo de TI y equipo de legal, pues en la base operativa y administrativa baja , estás prácticas pasan desapercibidas e incluso muchas veces incitadas por líderes directos, compartiendo usuarios y contraseñas, y cosas tan básicas como el bloque de tu equipo al pararte de tu puesto de trabajo. que fascinante este mundo de ciberseguridad
Implementar los estándares de Ciberseguridad es importante para dar garantía de la continuidad del negocio, entre mas se cumplan mayor grado de madurez como organización
La norma GDPR multa a las empresas por no cumplir con sus obligaciones, incluyendo la falta de notificación de un ciberincidente. Si una empresa no reporta un hackeo en un plazo de 72 horas, puede enfrentar multas significativas. Sin embargo, recibir una multa solo por ser víctima de un ciberataque no es automático; depende de si la empresa tomó las medidas adecuadas para proteger los datos y cumplir con la regulación.
2. NIST Cybersecurity Framework (NIST CSF)
Creado por el Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST), ofrece un marco flexible para gestionar y reducir riesgos cibernéticos.
Objetivo:
Identificar, proteger, detectar, responder y recuperarse ante incidentes cibernéticos.
Componentes Principales:
Beneficios:
Ideal para:
Empresas en EE.UU. o aquellas que buscan un enfoque flexible y centrado en el riesgo.
1. ISO/IEC 27001
Es un estándar internacional que establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
Objetivo:
Proteger la confidencialidad, integridad y disponibilidad de la información mediante la gestión sistemática del riesgo.
Componentes Principales:
Beneficios:
Ideal para:
Organizaciones que necesitan demostrar formalmente su seguridad ante terceros (clientes, reguladores).
📚 CLASE: Políticas y estándares clave en ciberseguridad
━━━━━━━━━━━━━━━━━━
🎯 IDEA PRINCIPAL
La ciberseguridad no depende únicamente de herramientas técnicas.
También necesita:
• reglas claras
• procesos definidos
• estándares reconocidos
• responsabilidades organizacionales
La idea clave:
Las políticas y estándares convierten la seguridad en un sistema organizado y repetible, no en decisiones improvisadas.
━━━━━━━━━━━━━━━━━━
⚡ RESUMEN ULTRA RÁPIDO
• Las políticas definen cómo debe actuar una organización.
• Los estándares ayudan a implementar seguridad consistente.
• La seguridad madura requiere procesos claros.
• Cumplimiento y gobernanza reducen riesgos operativos.
• La cultura organizacional importa tanto como la tecnología.
━━━━━━━━━━━━━━━━━━
🔑 LO VERDADERAMENTE IMPORTANTE
• Las políticas establecen reglas internas.
Definen:
• accesos
• manejo de datos
• uso de dispositivos
• autenticación
• respuesta a incidentes
• comportamiento esperado
• Los estándares ayudan a aplicar mejores prácticas.
Ejemplos importantes:
• ISO 27001
• NIST Cybersecurity Framework
• CIS Controls
• Las políticas reducen improvisación.
Especialmente durante:
• incidentes
• accesos críticos
• manejo de información sensible
• auditorías
• La seguridad madura necesita gobernanza.
No basta con instalar herramientas.
También se necesita:
• documentación
• capacitación
• revisiones periódicas
• control de cumplimiento
• Los errores humanos siguen siendo un gran riesgo.
Por eso las políticas deben ser:
• claras
• simples
• aplicables
• fáciles de entender
━━━━━━━━━━━━━━━━━━
🧠 CONCEPTOS QUE DEBO ENTENDER
• Política de seguridad
Reglas y lineamientos internos de protección.
• Estándar
Conjunto reconocido de mejores prácticas.
• Gobernanza
Gestión organizada de seguridad y riesgos.
• Cumplimiento (Compliance)
Asegurar que procesos y controles se respeten.
• Auditoría
Revisión para verificar cumplimiento y efectividad.
• Framework
Estructura organizada de prácticas y controles.
━━━━━━━━━━━━━━━━━━
🧩 MODELO MENTAL
Sin políticas claras → decisiones inconsistentes → errores humanos → mayor riesgo organizacional
Modelo maduro:
Políticas claras
Mentalidad profesional:
“La seguridad madura necesita estructura, no improvisación.”
━━━━━━━━━━━━━━━━━━
🚀 ACCIONES INMEDIATAS
✅ Define políticas básicas de seguridad.
Ejemplos:
• contraseñas
• MFA
• acceso remoto
• uso de dispositivos
• manejo de datos
✅ Documenta procesos importantes.
Especialmente:
• respuesta a incidentes
• backups
• accesos críticos
✅ Capacita usuarios regularmente.
Las políticas inútiles son las que nadie entiende.
✅ Revisa accesos y permisos periódicamente.
✅ Usa estándares reconocidos como referencia.
Ejemplos:
• ISO 27001
• NIST
• CIS Controls
✅ Simplifica reglas complejas.
La seguridad difícil suele terminar ignorándose.
━━━━━━━━━━━━━━━━━━
💼 APLICACIÓN PROFESIONAL
En empresas:
• reducción de riesgos operativos
• cumplimiento normativo
• claridad organizacional
• protección de activos críticos
En liderazgo:
• toma estructurada de decisiones
• cultura organizacional segura
• gobernanza tecnológica
En desarrollo:
• procesos seguros de despliegue
• control de accesos
• manejo adecuado de datos
En auditoría y compliance:
• evaluación de controles
• trazabilidad
• evidencia de cumplimiento
Ventaja profesional real:
Las organizaciones maduras destacan porque la seguridad está integrada en procesos diarios, no improvisada después de un problema.
━━━━━━━━━━━━━━━━━━
🔥 HACKS Y RECOMENDACIONES REALES
• Políticas demasiado complejas suelen fracasar.
• La seguridad debe ser práctica y entendible.
• Los usuarios necesitan contexto, no solo reglas.
• Documentar procesos reduce muchísimo caos durante incidentes.
• La gobernanza fuerte mejora escalabilidad organizacional.
• Las auditorías sirven para descubrir debilidades antes que los atacantes.
• La seguridad madura combina tecnología + personas + procesos.
━━━━━━━━━━━━━━━━━━
🧠 INSIGHT ESTRATÉGICO
Principiantes:
ven la ciberseguridad solo como herramientas técnicas.
Profesionales:
entienden que la verdadera seguridad organizacional depende de disciplina operativa y procesos repetibles.
La ventaja competitiva real aparece cuando la seguridad se vuelve parte natural de la cultura empresarial.
Las empresas más resilientes desarrollan:
• estándares claros
• automatización
• controles consistentes
• mejora continua
• responsabilidad compartida
La seguridad sostenible necesita estructura organizacional sólida.
━━━━━━━━━━━━━━━━━━
📝 REFLEXIÓN FINAL
Las herramientas cambian constantemente.
Pero las organizaciones fuertes construyen algo más importante:
procesos claros, cultura sólida y disciplina operativa.
La ciberseguridad madura no nace únicamente de tecnología avanzada.
Nace de convertir buenas prácticas en hábitos organizacionales consistentes.
La ciberseguridad no se trata solo de herramientas, sino de marcos y estándares que guían la protección integral de la información:
- ISO/IEC 27001 – Gestión de Seguridad de la Información. - NIST Cybersecurity Framework – Identificar, proteger, detectar, responder y recuperar. - GDPR – Protección de datos personales y privacidad. - COBIT – Gobernanza y control en TI. -PCI-DSS – Seguridad en transacciones con tarjetas de pago.
Adoptar estos estándares no solo fortalece la defensa frente a amenazas, también construye confianza y cumplimiento regulatorio en un entorno cada vez más digital.
El principal objetivo de la, también llamada, política de seguridad de la información y ciberseguridad, es garantizar la confidencialidad, integridad y disponibilidad de la información, estableciendo las medidas y controles necesarios para ello.
La importancia de aplicar estos estándares radica justamente en la prevención y el control del riesgo. ES menos costoso prevenir que afrontar una crisis por un ciberataque. También son una guía al momento de su implementación.
Las Politicar, Son reglas y lineamientos que definen cómo proteger la información, los sistemas y los usuarios frente a amenazas digitales, asegurando prácticas seguras y cumplimiento normativo dentro de una organización.
todos los estándares de seguridad básicamente son guías que debemos usar como buenas prácticas para poder proteger la información y resolver incidentes de seguridad en el menos tiempo posible, toda empresa debería implementarlo por dejar a sus clientes con la confianza plena de que su información está a salvo.
cuales son las multas en colombia por un ciberataque y quién las impone ?
En colombia en un video anterior él había dicho que está en 550k USD si no estoy mal.
En Colombia, la Fiscalía General de la Nación es la principal entidad encargada de investigar y sancionar los ataques de ciberseguridad, ya que estos se consideran delitos informáticos según la Ley 1273 de 2009. El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), a través de la Agencia Nacional de Seguridad Digital, y en coordinación con organismos como el COLCERT, vela por la protección del Estado y las entidades públicas ante ataques cibernéticos.
Comprender y aplicar políticas y estándares de ciberseguridad es crucial para proteger la información y evitar ciberataques costosos. Las políticas internas, como la gestión de contraseñas y copias de seguridad, junto con estándares como ISO 27001, NIST, CIS y GDPR, establecen directrices esenciales para garantizar la seguridad y el cumplimiento legal, fortaleciendo la confianza de clientes y asociados.
L a importnacia de estos controles es que cualquie organizacion puede brindar mayor confinaza y credibilidas en la empresa que brida el servicio.
¿Sabes en qué lugar puedo empezar a hacer mi portafolio?
¿Portafolio de que cosa? :D
De ciberseguridad.
