¿Cómo identificar las causas raíces de incidentes de seguridad de la información?

¿Cómo identificar las causas raíces de incidentes de seguridad de la información?

En la actualidad vivimos rodeados de datos. Nuestra información, que puede ser muy vulnerable, debe regirse bajo ciertos parámetros que faciliten su manejo y seguridad.

Por: Conexión Esan el 22 Agosto 2018

Compartir en: FACEBOOK LINKEDIN TWITTER WHATSAPP

Contar con un Óptica (SGSI) ISO 27001 garantiza pasos y procedimientos que permiten mitigar riesgos ante incidentes que comprometan los datos que maneja una empresa. Este sistema implica la creación de procesos que permitan gestionar la información, asegurando su confidencialidad, totalidad y disponibilidad.

La información es un activo que se debe proteger mediante distintos soportes, bien sea almacenándola en físico o digitalmente. Esta incluye datos del personal de la organización, sus clientes, procesos, contratos, softwares, objetivos o metas. Todo esto puede, en manos incorrectas, resultar contraproducente para la compañía.

Incidentes de seguridad de la información

Un incidente es aquello que puede causar daños, materiales o inmateriales, en la información que maneja una empresa. Estos pueden ir desde amenazas naturales (sismos, tsunamis, incendios forestales), pasando por problemas tecnológicos (hackeo), hasta sociales (protestas, vandalismo, terrorismo).

Estas amenazas generan incidentes de seguridad de información que arriesgan la estabilidad y seguridad del sistema. Por ello, se hace imprescindible documentar los procesos que permitan solventar estos incidentes. Según Alberto Alexander, docente del Programa de Especialización en La Implantación del Sistema de Gestión de Seguridad de Información Óptica ISO 27001:2013, los incidentes de seguridad son aleatorios. Por esta razón es fundamental determinar cuáles son sus causas y preparar un plan de acción en torno a estas.

Causas raíces de los incidentes de seguridad de la información

Para el especialista, una organización debe tener la capacidad interna para identificar, de forma rápida y eficiente, las razones tras los incidentes de seguridad de información. Para ello, pueden utilizarse herramientas como los 5 porqué o tecnologías más avanzadas como softwares de causa-efecto.  

Los 5 porqué consisten en un método para encontrar las causas raíces de un problema. Esto permite cuestionar y llegar a una solución sencilla y tangible a través del desglose de las respuestas. La investigación en esta metodología no es profunda pero sí implica un análisis que sepa diferencia síntomas de causas: cuando ya no se obtengan respuestas a un nuevo porqué, se ha llegado a la raíz del asunto. Si se definen y se atacan esas causas de manera eficaz, se disminuyen las posibilidades que impliquen un nuevo incidente.

Asimismo, se puede utilizar un diagrama de causa-efecto. Este incluye factores causales y variables que podrían generar una amenaza, diferenciando las causas potenciales de las causas reales. Estos diagramas pueden sistematizarse a través de softwares tecnológicos desarrollados específicamente para señalar las situaciones adversas que pueden afectar la seguridad de la información.

Para las empresas, contar con un SGSI e implementarlo es de suma importancia: el sistema garantiza que la información sensible permanezca constantemente segura. Al preparar al equipo humano y al sistema ante incidentes, protegiendo y detectando de antemano las causas, las posibilidades de crisis se minimizan. Ello garantiza una gestión saludable a nivel organizacional.

Si quieres conocer y manejar efectivamente los incidentes de seguridad de la información, participa del Programa de Especialización en La Implantación del Sistema de Gestión de Seguridad de Información Óptica ISO 27001:2013 de ESAN.

También puedes leer:

Fuentes:

Entrevista a Alberto Alexander, docente del Programa de Especialización en La Implantación del Sistema de Gestión de Seguridad de Información Óptica ISO 27001:2013 en ESAN.

Espinoza Aguinaga, Hans Ryan. Análisis y diseño de un sistema de gestión de seguridad de información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y comercialización de productos de consumo masivo. Tesis de la Pontificia Universidad Católica del Perú.

Saltos B, Vicente. "Análisis de Causa Raíz (ACR)". Revista CRIEEL.

Conexión Esan

Portal de negocios de ESAN Graduate School of Business. Desde el 2010 difunde contenido de libre acceso (artículos, infografías, podcast, videos y más) elaborado por los más destacados especialistas. Encuentra contenido en más de 15 áreas y sectores como Administración, B2B, Derecho Corporativo, Finanzas, Gestión de Proyectos, Gestión de Personas, Gestión Pública, Logística, Marketing, Minería, TI y más. ¡Conéctate con los expertos de ESAN y aumenta tu conocimiento en los negocios!

Otros artículos del autor

ESAN Ediciones participará en la Feria Internacional del Libro de Lima 2026

10 Julio 2026

Del 22 de julio al 6 de agosto, ESAN Ediciones participará en la 30.ª edición de la Feria Internacional del Libro de Lima, uno de los encuentros culturales y editoriales más importantes del país. Durante toda la feria, los visitantes podrán conocer las más recientes publicaciones del fondo editorial de la Universidad ESAN, acceder a promociones especiales y participar en las actividades programadas como parte de esta nueva edición. Encuéntranos en el stand n.° 9.

  • Actualidad
  • Eventos

ESAN impulsa alianza académica frente al cambio climático y la gestión del riesgo de desastres

10 Julio 2026

ESAN suscribió un convenio con la Universidad Nacional de Ingeniería (UNI), la Universidad Nacional Agraria La Molina (UNALM) y la Municipalidad de Lurigancho–Chosica para poner en marcha el Laboratorio Territorial de Lurigancho–Chosica 2026–2030, una iniciativa que promoverá investigación aplicada, innovación pública y trabajo conjunto para fortalecer la resiliencia territorial.

  • Actualidad
  • Responsabilidad Social

ESAN refuerza su enfoque global con el lanzamiento de su International MBA, un programa único en el mercado

08 Julio 2026

El International MBA de ESAN es un programa único en el Perú y en la región. Entre sus principales beneficios se encuentra la posibilidad de participar en un programa de consultoría a cargo de la Schulich School of Business (Canadá) y realizar misiones de estudio en Silicon Valley.

  • Sala de prensa
  • ESAN en los medios