Utilizamos cookies en nuestra web para personalizar el contenido y los anuncios, ofrecer funciones de redes sociales y analizar el tráfico. Para brindarte una experiencia online óptima y mejorar nuestras comunicaciones, haz clic en "ACEPTAR TODO". Al hacerlo, aceptas el procesamiento y el intercambio de tu información. Puedes revocar tu consentimiento en cualquier momento en la configuración de privacidad de datos​.
Política de privacidad
Configuración

Vigilancia inquebrantable: la ciberseguridad nunca descansa

28 mar 2025

Las amenazas cibernéticas están alcanzando un nivel crítico en las cadenas de suministro digitalmente interconectadas. Se vuelve cada vez más urgente contar con estrategias de protección que abarquen todo el contexto empresarial. En la práctica, el Sistema de Gestión de Seguridad de la Información (ISMS) basado en la norma ISO/IEC 27001:2022 ha demostrado ser efectivo. De hecho, para el 31 de octubre de 2025, todas las certificaciones existentes deberán actualizarse a la versión más reciente de esta norma.

Bloqueo digital

Los riesgos relacionados con interrupciones, espionaje y pérdida de datos sensibles debido a ciberataques fueron un tema central en el Foro Económico Mundial 2025 en Davos. En particular, los sistemas de información dentro de las cadenas de suministro se han vuelto aún más vulnerables debido a nuevos conflictos geopolíticos, guerras comerciales y amenazas híbridas.
El Informe Global de Ciberseguridad 2025, presentado en Davos, también destaca la creciente brecha de talento en las empresas. Falta personal capacitado para implementar medidas de seguridad adecuadas frente a la complejidad digital y las crecientes exigencias en la cadena de valor.

Métodos de los ciberdelincuentes

El problema de la falta de expertos se agrava con la creciente disponibilidad de herramientas de inteligencia artificial (IA) para el análisis de texto, imágenes y datos. Los ciberdelincuentes ahora pueden identificar vulnerabilidades con mayor precisión y rapidez, utilizando modelos de IA para automatizar ataques.
Un ejemplo de esto son los ataques a la cadena de suministro, que se dirigen a los proveedores de servicios de IT para infectar con malware los sistemas de sus clientes a través de actualizaciones o mantenimientos. Un caso reciente ocurrió en el verano de 2024, cuando una falla en una actualización de CrowdStrike, un proveedor global de ciberseguridad, provocó la mayor interrupción de IT a nivel mundial. Entre los afectados estuvieron aerolíneas, aeropuertos, hospitales, grandes cadenas de tiendas y medios de comunicación.
Como consecuencia de esta falla, surgieron nuevas amenazas cibernéticas. Los delincuentes difundieron supuestas herramientas de recuperación para la actualización defectuosa, las cuales en realidad contenían troyanos diseñados para infiltrarse en los sistemas. Según la aseguradora Parametrix, solo en Estados Unidos, las empresas afectadas sufrieron pérdidas económicas por 5.400 millones de dólares.

Las vulnerabilidades cibernéticas no dejan de crecer

Según la Oficina Federal de Seguridad de la Información (BSI), en 2023 se detectaron alrededor de 80 nuevas vulnerabilidades diarias en sistemas de IT o aplicaciones de software, y la cifra sigue aumentando. Los sistemas perimetrales, como firewalls, VPNs e infraestructuras de nube pública, representan superficies de ataque cada vez más expuestas.
Los informes de seguridad de la BSI en 2024 también advierten que las pequeñas y medianas empresas se han convertido en objetivos frecuentes de ataques masivos de ransomware. Estos ataques explotan brechas técnicas u organizativas para infiltrarse en los sistemas y exigir rescates.

ISMS: un enfoque integral de protección

La seguridad de la información no solo abarca datos sensibles de producción o información personal de terceros. El riesgo de suplantación de identidad mediante correos electrónicos falsificados, entre otros métodos, demuestra que las medidas aisladas ya no son suficientes para garantizar una protección duradera.
Por ello, es clave un enfoque integral que abarque toda la estructura organizativa, considerando los procesos y responsabilidades esenciales para el modelo de negocio. Un marco eficaz para esto es el Sistema de Gestión de Seguridad de la Información (ISMS) basado en la norma ISO/IEC 27001:2022 . Aplicando el principio de mejora continua, las empresas pueden fortalecer su resistencia frente a amenazas cibernéticas a largo plazo.

Declaración de aplicabilidad

Las organizaciones que buscan la certificación ISMS deben elaborar una Declaración de Aplicabilidad (SoA, por sus siglas en inglés). Este documento actúa como una herramienta de gestión central, en la que se enumeran las medidas de seguridad adoptadas tras un análisis de riesgos y se comparan con las mejores prácticas establecidas en el Anexo A de la norma.
Otro aspecto clave del proceso de certificación es la identificación de todos los activos críticos de la empresa, incluyendo sistemas de producción, instalaciones, procesos de negocio y relaciones con proveedores. En este contexto, el término "activo" abarca mucho más que su significado contable: incluye todo aquello que es valioso para la operatividad del negocio.
Tanto la SoA como el inventario de activos deben gestionarse de manera transversal en la organización, y no solo por un grupo reducido de personas. Además, enfocarse únicamente en hardware y software es insuficiente. Se deben evaluar todos los activos primarios y secundarios, clasificándolos según su impacto potencial y probabilidad de ataque (matriz de riesgos).
  • Activos primarios: información clave como conocimientos técnicos, relaciones comerciales y datos de clientes.
  • Activos secundarios: la infraestructura técnica que sustenta los activos primarios.

Auditorías internas: claves para la seguridad

Detectar riesgos, revisar periódicamente su impacto y evaluar la efectividad de las medidas de seguridad implementadas es una tarea que debe involucrar a toda la organización.
Las auditorías internas juegan un papel clave en este proceso, ya que permiten revisar riesgos ocultos en la cadena de suministro y ajustar las medidas de protección según sea necesario. Sin estas evaluaciones continuas, las empresas corren el riesgo de descubrir en una auditoría externa que su ISMS no cumple con los requisitos actuales del mercado.
Se ha observado que, tres años después de una certificación inicial, muchas organizaciones no han actualizado sus medidas de seguridad ni adaptado sus objetivos de protección a los nuevos desafíos digitales. Esto hace que las auditorías de recertificación sean complejas y costosas, sobre todo si los empleados clave que participaron en la certificación original ya no están en la empresa.
Mantener el ISMS actualizado todo el año es fundamental. Esto solo se logra con auditorías internas regulares, no solo en el momento de la certificación. Cuando cambian los procesos o surgen nuevas amenazas, es necesario revisar y adaptar las normas de seguridad, asegurando que toda la organización esté alineada con los nuevos riesgos.

Medidas para una ciberseguridad sólida

¿Qué cambios introduce la norma revisada ISO 27001:2022?
El enfoque está en la conciencia de riesgos y en la mejora de procesos organizativos. El nuevo Anexo A ahora incluye 93 medidas de referencia (antes eran 114), agrupadas en cuatro categorías:
  • Organizativas
  • Humanas
  • Físicas
  • Técnicas
Entre las actualizaciones más relevantes se encuentran:
  • Inteligencia de amenazas
  • Seguridad de la información para servicios en la nube
  • Preparación de las TIC para la continuidad del negocio y medidas de recuperación
  • Monitoreo de seguridad física y detección de intrusiones
  • Anonimización y seudonimización de datos
  • Prevención de filtraciones de datos
  • Monitoreo proactivo de actividades anómalas
  • Filtrado web y eliminación de sitios que propagan malware peligroso
  • Programación segura y eliminación de vulnerabilidades
  • Gestión de configuración con ajustes de seguridad correctos
  • Eliminación de datos en cumplimiento con el GDPR y el DSGVO
Conclusión
A medida que las empresas avanzan en su digitalización y automatización, los riesgos derivados de datos manipulados o filtrados crecen exponencialmente. Un ISMS bien estructurado, basado en la norma ISO/IEC 27001:2022, ofrece una protección sólida y adaptable frente a los desafíos actuales.
Las empresas que integran la gestión de ciberseguridad en toda su estructura y cadena de suministro, y realizan un seguimiento continuo de los riesgos, fortalecen su resiliencia de manera constante. Además, la certificación ISMS demuestra externamente el compromiso de la organización con la seguridad de la información.
Mostrar todos los artículos