Políticas y estándares de ciberseguridad

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Introducción a la Ciberseguridad

Comprende y actúa frente amenazas cibernéticas

Buenas prácticas de Ciberseguridad

Ciberseguridad en Empresas

Prevención de riesgos

26
Cómo proteger datos personales y empresariales
00:39 min

Tomar examen

Políticas y estándares de ciberseguridad

Resumen

Las políticas y estándares de ciberseguridad son la base para que una organización proteja su información y reduzca riesgos de ataques. Aquí encontrarás cómo funcionan las políticas internas y los cuatro marcos más usados en el mundo: ISO 27001, NIST Cybersecurity Framework, CIS Controls y GDPR.

¿Qué políticas internas debe implementar una organización?

Toda empresa necesita reglas claras que sus empleados cumplan para mantener la seguridad. No son opcionales, son la primera línea de defensa.

Entre las políticas más comunes están:

Control de acceso, para definir quién puede entrar a qué sistemas.
Gestión de contraseñas, obligando a crear claves sofisticadas que sean difíciles de hackear.
Copias de seguridad, para respaldar la información y recuperarla tras un incidente.

Y aquí viene lo interesante: las políticas internas se potencian cuando las acompañas con estándares reconocidos a nivel internacional.

¿Qué es una política de ciberseguridad? Es una regla interna que define cómo deben comportarse empleados y sistemas para proteger la información de la organización.

¿Qué es la norma ISO 27001 y por qué es tan respetada?

La ISO 27001 es uno de los estándares más conocidos del mundo. No se trata solo de una lista de buenas prácticas: es todo un sistema de gestión de la ciberseguridad que incluye procedimientos, políticas, controles y herramientas.

Cumplir con esta norma trae beneficios concretos:

Cumplimiento legal, porque al cumplir ISO 27001 también cumples muchos requisitos legales en distintos países.
Protección de información sensible, ya que la norma te obliga a aplicar controles reales sobre los datos.
Confianza de clientes y proveedores, e incluso te ayuda a cerrar negocios con empresas que exigen esta certificación antes de comprarte.
Reducción de costos, porque al minimizar el riesgo de un ciberataque también evitas el impacto económico que vendría después.

¿Cómo funciona el NIST Cybersecurity Framework?

El NIST Cybersecurity Framework te ayuda a construir una estrategia de ciberseguridad para reducir riesgos. A diferencia de ISO 27001, su enfoque es estratégico y se organiza en cinco funciones.

Las cinco funciones del NIST

Identificar: conocer todos tus sistemas críticos, endpoints, dispositivos móviles, servidores y firewalls.
Proteger: implementar sistemas antimalware y otras defensas.
Detectar: usar firewalls y herramientas de monitoreo para analizar logs y detectar ataques a tiempo.
Responder: tener la capacidad tecnológica y operativa para actuar durante un ciberincidente.
Recuperar: contar con un plan de respuesta a incidentes que permita volver a la normalidad.

Estas cinco funciones forman un ciclo. No basta con proteger, también necesitas saber qué hacer cuando algo falla.

¿Qué son los CIS Controls y en qué se diferencian del NIST?

Los CIS Controls, creados por el Center of Internet Security, son controles muy específicos que se aplican física y lógicamente en los sistemas. No son una estrategia como el NIST Framework, son acciones concretas. Por eso ambos se complementan muy bien.

Una de sus fortalezas es que ofrecen guías para hardenizar sistemas operativos como Windows 10, Windows 11 o Windows Server 2012, con documentos específicos para optimizar la seguridad de cada dispositivo.

¿NIST o CIS Controls? El NIST te da la estrategia general; los CIS Controls te dan las acciones técnicas específicas. Lo ideal es usarlos juntos.

¿Qué exige el GDPR y cuáles son sus multas?

La General Data Protection Regulation es una legislación europea que las empresas deben cumplir por ley si manejan datos de ciudadanos europeos. Tiene puntos muy concretos que conviene conocer.

Lo más relevante:

Las empresas tienen un plazo máximo de 72 horas para reportar un ciberincidente.
Las multas pueden llegar hasta el 4% de los ingresos anuales de una organización.
British Airways recibió una multa de 26 millones de dólares por filtrar la información de 400 000 clientes.
En el caso de Facebook, que factura hasta 117 000 millones de dólares anuales, una multa máxima rondaría los 4 680 millones de dólares.

Esa cifra deja claro por qué cumplir con GDPR no es opcional para empresas que operan con datos europeos.

¿Por qué implementar estándares de ciberseguridad?

Las políticas internas marcan el día a día, pero los estándares te dan estructura, credibilidad y respaldo legal. Combinar ISO 27001, NIST, CIS Controls y GDPR según tu contexto te permite cubrir desde la estrategia hasta los controles técnicos y el cumplimiento normativo.

Ahora que ya conoces estos estándares, ¿por qué crees que es importante implementarlos en tu organización? Déjanos tu respuesta en los comentarios.

Comentarios

Carlos Montes

Estudiante

Políticas de Ciberseguridad: Implementar políticas internas como control de acceso y gestión de contraseñas fuertes.
Estándares de Ciberseguridad: Adoptar estándares como ISO 27001, NIST Cybersecurity Framework, CIS Controls y GDPR.
ISO 27001: Proporciona un sistema de gestión de ciberseguridad y asegura cumplimiento legal.
NIST Framework: Compuesto por funciones: identificar, proteger, detectar, responder y recuperar.
CIS Controls: Controles específicos para fortalecer la seguridad de sistemas.
GDPR: Regula la protección de datos y establece sanciones por incumplimiento.

Jose Ricardo Dueñas Suarez

Estudiante

gracias

Carlos Buendia

Estudiante

Políticas de Ciberseguridad: Implementar políticas internas como control de acceso y gestión de contraseñas fuertes Y COPIAS DE SEGURIDAD.
Estándares de Ciberseguridad: Adoptar estándares como ISO 27001, NIST Cybersecurity Framework, CIS Controls y GDPR.
ISO 27001: Proporciona un sistema de gestión de ciberseguridad y asegura cumplimiento legal, crean procedimientos, control, beneficios: cumplimiento legal, protección de información sensible, confianza de clientes y socios, reducción de costos.
NIST Framework: Compuesto por funciones: identificar, proteger, detectar, responder y recuperar.
CIS Controls: Controles específicos para fortalecer la seguridad de sistemas, CONJUNTO DIRECTRICES PARA GESTIONAR Y REDUCIR LOS RIESGOS, IDENTIFICA, PROTEGE, DETECTA, RESPONDE Y RECUPERA.
GDPR: Regula la protección de datos y establece sanciones por incumplimiento, ES UNA LEGISLACION EUROPEA, OBLIGACION DE REPORTAR 72 HORAS PARA UN ACCIDENTE, MULTAS HASTA DEL 4% POR NO CUMPLIR NORMA.

Diego Fernando Molina Guzmán

Estudiante

Los estándares de ciberseguridad son marcos y normas reconocidos internacionalmente que guían a las organizaciones en la implementación de medidas de seguridad. Algunos de los más importantes incluyen:

ISO/IEC 27001: Este estándar especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI)
ISO/IEC 27002: Proporciona directrices para las mejores prácticas de gestión de la seguridad de la información.
NIST Cybersecurity Framework: Desarrollado por el Instituto Nacional de Estándares y Tecnología de EE. UU., este marco proporciona un enfoque basado en riesgos para gestionar y reducir los riesgos de ciberseguridad.

Edwin Perafan Grajales

Estudiante

De la teoría a la práctica he identificado que quienes más relevancia le dan a el factor ciberseguridad, son especialmente el equipo de TI y equipo de legal, pues en la base operativa y administrativa baja , estás prácticas pasan desapercibidas e incluso muchas veces incitadas por líderes directos, compartiendo usuarios y contraseñas, y cosas tan básicas como el bloque de tu equipo al pararte de tu puesto de trabajo. que fascinante este mundo de ciberseguridad

Cesar Fabian Lancheros Currea

Estudiante

Implementar los estándares de Ciberseguridad es importante para dar garantía de la continuidad del negocio, entre mas se cumplan mayor grado de madurez como organización

Javier Ramos

Estudiante

La norma GDPR multa a las empresas por no cumplir con sus obligaciones, incluyendo la falta de notificación de un ciberincidente. Si una empresa no reporta un hackeo en un plazo de 72 horas, puede enfrentar multas significativas. Sin embargo, recibir una multa solo por ser víctima de un ciberataque no es automático; depende de si la empresa tomó las medidas adecuadas para proteger los datos y cumplir con la regulación.

Henry Otalora Suavita

Estudiante

2. NIST Cybersecurity Framework (NIST CSF)

Creado por el Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST), ofrece un marco flexible para gestionar y reducir riesgos cibernéticos.

Objetivo:

Identificar, proteger, detectar, responder y recuperarse ante incidentes cibernéticos.

Componentes Principales:

Identify: Conocer activos y riesgos.
Protect: Salvaguardar la infraestructura.
Detect: Monitorear incidentes de seguridad.
Respond: Planificar y ejecutar respuesta.
Recover: Restaurar capacidades tras incidentes.

Beneficios:

Adaptabilidad a cualquier tamaño o sector.
Enfoque pragmático orientado a la gestión del riesgo.
Facilita la comunicación interna y externa sobre seguridad.

Ideal para:

Empresas en EE.UU. o aquellas que buscan un enfoque flexible y centrado en el riesgo.

Henry Otalora Suavita

Estudiante

1. ISO/IEC 27001

Es un estándar internacional que establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).

Objetivo:

Proteger la confidencialidad, integridad y disponibilidad de la información mediante la gestión sistemática del riesgo.

Componentes Principales:

Política de seguridad.
Gestión de activos de información.
Evaluación y tratamiento del riesgo.
Controles de seguridad documentados en ISO 27002.
Auditorías internas y certificación externa.

Beneficios:

Mejora continua en seguridad.
Confianza y credibilidad ante clientes y socios.
Cumplimiento regulatorio.

Ideal para:

Organizaciones que necesitan demostrar formalmente su seguridad ante terceros (clientes, reguladores).

Daniel Alfredo García Serna

Estudiante

📚 CLASE: Políticas y estándares clave en ciberseguridad

━━━━━━━━━━━━━━━━━━

🎯 IDEA PRINCIPAL

La ciberseguridad no depende únicamente de herramientas técnicas.

También necesita:

• reglas claras

• procesos definidos

• estándares reconocidos

• responsabilidades organizacionales

La idea clave:

Las políticas y estándares convierten la seguridad en un sistema organizado y repetible, no en decisiones improvisadas.

━━━━━━━━━━━━━━━━━━

⚡ RESUMEN ULTRA RÁPIDO

• Las políticas definen cómo debe actuar una organización.

• Los estándares ayudan a implementar seguridad consistente.

• La seguridad madura requiere procesos claros.

• Cumplimiento y gobernanza reducen riesgos operativos.

• La cultura organizacional importa tanto como la tecnología.

━━━━━━━━━━━━━━━━━━

🔑 LO VERDADERAMENTE IMPORTANTE

• Las políticas establecen reglas internas.

Definen:

• accesos

• manejo de datos

• uso de dispositivos

• autenticación

• respuesta a incidentes

• comportamiento esperado

• Los estándares ayudan a aplicar mejores prácticas.

Ejemplos importantes:

• ISO 27001

• NIST Cybersecurity Framework

• CIS Controls

• Las políticas reducen improvisación.

Especialmente durante:

• incidentes

• accesos críticos

• manejo de información sensible

• auditorías

• La seguridad madura necesita gobernanza.

No basta con instalar herramientas.

También se necesita:

• documentación

• capacitación

• revisiones periódicas

• control de cumplimiento

• Los errores humanos siguen siendo un gran riesgo.

Por eso las políticas deben ser:

• claras

• simples

• aplicables

• fáciles de entender

━━━━━━━━━━━━━━━━━━

🧠 CONCEPTOS QUE DEBO ENTENDER

• Política de seguridad

Reglas y lineamientos internos de protección.

• Estándar

Conjunto reconocido de mejores prácticas.

• Gobernanza

Gestión organizada de seguridad y riesgos.

• Cumplimiento (Compliance)

Asegurar que procesos y controles se respeten.

• Auditoría

Revisión para verificar cumplimiento y efectividad.

• Framework

Estructura organizada de prácticas y controles.

━━━━━━━━━━━━━━━━━━

🧩 MODELO MENTAL

Sin políticas claras → decisiones inconsistentes → errores humanos → mayor riesgo organizacional

Modelo maduro:

Políticas claras

estándares reconocidos
capacitación
monitoreo
mejora continua = seguridad más sólida y escalable

Mentalidad profesional:

“La seguridad madura necesita estructura, no improvisación.”

━━━━━━━━━━━━━━━━━━

🚀 ACCIONES INMEDIATAS

✅ Define políticas básicas de seguridad.

Ejemplos:

• contraseñas

• MFA

• acceso remoto

• uso de dispositivos

• manejo de datos

✅ Documenta procesos importantes.

Especialmente:

• respuesta a incidentes

• backups

• accesos críticos

✅ Capacita usuarios regularmente.

Las políticas inútiles son las que nadie entiende.

✅ Revisa accesos y permisos periódicamente.

✅ Usa estándares reconocidos como referencia.

Ejemplos:

• ISO 27001

• NIST

• CIS Controls

✅ Simplifica reglas complejas.

La seguridad difícil suele terminar ignorándose.

━━━━━━━━━━━━━━━━━━

💼 APLICACIÓN PROFESIONAL

En empresas:

• reducción de riesgos operativos

• cumplimiento normativo

• claridad organizacional

• protección de activos críticos

En liderazgo:

• toma estructurada de decisiones

• cultura organizacional segura

• gobernanza tecnológica

En desarrollo:

• procesos seguros de despliegue

• control de accesos

• manejo adecuado de datos

En auditoría y compliance:

• evaluación de controles

• trazabilidad

• evidencia de cumplimiento

Ventaja profesional real:

Las organizaciones maduras destacan porque la seguridad está integrada en procesos diarios, no improvisada después de un problema.

━━━━━━━━━━━━━━━━━━

🔥 HACKS Y RECOMENDACIONES REALES

• Políticas demasiado complejas suelen fracasar.

• La seguridad debe ser práctica y entendible.

• Los usuarios necesitan contexto, no solo reglas.

• Documentar procesos reduce muchísimo caos durante incidentes.

• La gobernanza fuerte mejora escalabilidad organizacional.

• Las auditorías sirven para descubrir debilidades antes que los atacantes.

• La seguridad madura combina tecnología + personas + procesos.

━━━━━━━━━━━━━━━━━━

🧠 INSIGHT ESTRATÉGICO

Principiantes:

ven la ciberseguridad solo como herramientas técnicas.

Profesionales:

entienden que la verdadera seguridad organizacional depende de disciplina operativa y procesos repetibles.

La ventaja competitiva real aparece cuando la seguridad se vuelve parte natural de la cultura empresarial.

Las empresas más resilientes desarrollan:

• estándares claros

• automatización

• controles consistentes

• mejora continua

• responsabilidad compartida

La seguridad sostenible necesita estructura organizacional sólida.

━━━━━━━━━━━━━━━━━━

📝 REFLEXIÓN FINAL

Las herramientas cambian constantemente.

Pero las organizaciones fuertes construyen algo más importante:

procesos claros, cultura sólida y disciplina operativa.

La ciberseguridad madura no nace únicamente de tecnología avanzada.

Nace de convertir buenas prácticas en hábitos organizacionales consistentes.

RODRIGO MOGOLLON HORTUA

Estudiante

La ciberseguridad no se trata solo de herramientas, sino de marcos y estándares que guían la protección integral de la información:

- ISO/IEC 27001 – Gestión de Seguridad de la Información. - NIST Cybersecurity Framework – Identificar, proteger, detectar, responder y recuperar. - GDPR – Protección de datos personales y privacidad. - COBIT – Gobernanza y control en TI. -PCI-DSS – Seguridad en transacciones con tarjetas de pago.

Adoptar estos estándares no solo fortalece la defensa frente a amenazas, también construye confianza y cumplimiento regulatorio en un entorno cada vez más digital.

Maria Janeth Rodas

Estudiante

El principal objetivo de la, también llamada, política de seguridad de la información y ciberseguridad, es garantizar la confidencialidad, integridad y disponibilidad de la información, estableciendo las medidas y controles necesarios para ello.

Myriam Rocio Romero Segura

Estudiante

La importancia de aplicar estos estándares radica justamente en la prevención y el control del riesgo. ES menos costoso prevenir que afrontar una crisis por un ciberataque. También son una guía al momento de su implementación.

Alejandro Romero Romero

Estudiante

Las Politicar, Son reglas y lineamientos que definen cómo proteger la información, los sistemas y los usuarios frente a amenazas digitales, asegurando prácticas seguras y cumplimiento normativo dentro de una organización.

jose david Buitrago Cano

Estudiante

todos los estándares de seguridad básicamente son guías que debemos usar como buenas prácticas para poder proteger la información y resolver incidentes de seguridad en el menos tiempo posible, toda empresa debería implementarlo por dejar a sus clientes con la confianza plena de que su información está a salvo.

Jose Luis López

Estudiante

cuales son las multas en colombia por un ciberataque y quién las impone ?

Monica Patricia Caro Herrera

Estudiante

En colombia en un video anterior él había dicho que está en 550k USD si no estoy mal.

Javier Alvarez

Estudiante

En Colombia, la Fiscalía General de la Nación es la principal entidad encargada de investigar y sancionar los ataques de ciberseguridad, ya que estos se consideran delitos informáticos según la Ley 1273 de 2009. El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), a través de la Agencia Nacional de Seguridad Digital, y en coordinación con organismos como el COLCERT, vela por la protección del Estado y las entidades públicas ante ataques cibernéticos.

Javier Alvarez Tarazona

Estudiante

Comprender y aplicar políticas y estándares de ciberseguridad es crucial para proteger la información y evitar ciberataques costosos. Las políticas internas, como la gestión de contraseñas y copias de seguridad, junto con estándares como ISO 27001, NIST, CIS y GDPR, establecen directrices esenciales para garantizar la seguridad y el cumplimiento legal, fortaleciendo la confianza de clientes y asociados.

Isaías Quintero MARIZANCEN

Estudiante

L a importnacia de estos controles es que cualquie organizacion puede brindar mayor confinaza y credibilidas en la empresa que brida el servicio.

Monica Patricia Caro Herrera

Estudiante

¿Sabes en qué lugar puedo empezar a hacer mi portafolio?

Francisco Daniel Carvajal Becerra

Profesor

¿Portafolio de que cosa? :D

Monica Patricia Caro Herrera

Estudiante

De ciberseguridad.

Introducción a la Ciberseguridad

Ataques reais que expõem falhas básicas

Qué es la ciberseguridad y la triada CIA

Ransomware real: el ataque que paralizó un aeropuerto

Cómo el hackeo a Target explica Zero Trust

Cómo crear cultura de ciberseguridad en tu empresa

Comprende y actúa frente amenazas cibernéticas

Cómo hackearon Twitter con ingeniería social

Cómo identificar un ataque de phishing

Detección de Phishing con Modelos de Lenguaje Grande (LLM)

Prevención y manejo de ataques de ransomware

Qué son los deepfakes y cómo te estafan

Cómo los hackers explotan ChatGPT

Configuración de Privacidad en LLMs para Proteger Datos Confidenciales

Amenazas físicas en la oficina y cómo evitarlas

Buenas prácticas de Ciberseguridad

Actualización de Software: Seguridad y Optimización

Instalación y funcionamiento de un antivirus en Windows

Gestión Segura de Contraseñas y Autenticación en Dos Pasos

Instala y configura Dashlane paso a paso

Cómo activar el segundo factor de autenticación

Cómo una VPN te protege en WiFi público

Cómo rastrean tu ubicación con una foto

Ciberseguridad en Empresas

Protección de datos personales y sus multas

Ciclo de vida de respuesta a ciberincidentes

Plan de continuidad del negocio explicado

Simulación de Crisis y Prueba de BCP/DRP con LLMs