Entérate de temas relevantes

Servicios de consultoría y asesoría

¡Hola!, te compartimos el artículo de: Junio, 2026

Protección de la información con base en la norma ISO 27001
Por David Mondragón Tapia

Panorama 2025-2026

Durante el año 2025 y lo que va del 2026, la seguridad de la información ha enfrentado un panorama crítico. Lo anterior se puede afirmar cuando más del 60% de las empresas PyMEs en México, han sufrido algún tipo de ataque digital, esto sin considerar que las PyMEs representan entre el 95 y 99 por ciento del total de empresas en el país. La situación se agrava aún más si consideramos que a nivel mundial, el Fondo Monetario Internacional (FMI) estima que la ciberdelincuencia costará al mundo la impresionante cifra de 23 billones de dólares para el año 2027, lo que representará un incremento del 175% con respecto al 2022 (¡en solo cinco años!). ¡Si, seguramente coincidimos con el pensamiento!, el panorama se ve preocupante y a la vez interesante.

Como ya se mencionó anteriormente, en México, más del  60% de las PyMEs mexicanas fueron blancos de intentos de robo de datos, ransomware y/o accesos no autorizados, provocando pérdidas económicas, paros operativos y/o daños en la reputación, resultando en incidentes que superaron generalmente la capacidad de respuesta de estas. Lo anterior, ha dejado al descubierto la ausencia de estrategias formales de seguridad de la información, ciberseguridad, protección de la privacidad y monitoreo continuo de seguridad, principalmente. En el caso de Latinoamérica (ej. México, Colombia y Chile), los ataques digitales vienen creciendo año con año tanto en frecuencia como en costo, destacando nuevamente el ransomware, así como los fraudes online y el robo de datos. Desde la pandemia de COVID-19, tendencias como la digitalización y el trabajo flexible, han incrementado la exposición de las empresas y las personas, a sufrir algún tipo de ciberataque. ¿Y tú, ya estás preparad@ para este desafio?

Amenazas y riesgos a la seguridad de la información

Hoy en día, la necesidad de ofrecer una seguridad ad-hoc para la información de las organizaciones y las personas, enfrenta amenazas evolutivas destacando algunas de las siguientes:

  1. Ransomware: a través del secuestro de información considerada “crítica” por la parte interesada, exigiendo a cambio de su liberación, un pago.
  2. Phishing y fraudes online: a través de campañas masivas y/o dirigidas a sujetos o grupos de sujetos, para robar las credenciales y los datos financieros de estos.
  3. Robo de identidad: a través del uso indebido y no autorizado de los datos personales o información de identificación personal, mismos que fueron obtenidos mediante filtraciones.
  4. Ataques a la cadena de suministro: a través de la vulneración de los proveedores, para posteriormente tener acceso a los sistemas corporativos del objetivo final.
  5. Falta de capacitación interna: en México, la nula o escasa concientización, capacitación y/o formación en materia de seguridad de la información, provoca que muchas PyMEs enfrenten incidentes frecuentes o incluso recurrentes.

No quepa la menor duda, que aunque hoy existen diferentes tipos de recursos y opciones aplicables a la seguridad de la información de una organización, es la falta de planes, programas o sistemas de seguridad de la información y particularmente en el sector de las empresas PyMEs en México, lo que  las convierte en objetivos fáciles para la delincuencia informática. Ante tan preocupante situación, las organizaciones pero también las personas, deben procurar seguir algunas de las recomendaciones que a continuación se comparten:

  • La habilitación de capacidades de monitoreo continuo.
  • La implementación de planes de respuesta a incidentes.
  • La inversión en copias de seguridad seguras y preferentemente completas para mitigar el riesgo de ransomware.
  • El uso de autenticación de múltiples factores.
  • La implementación del cifrado de datos sensibles.
  • La capacitación y concientización del personal especialmente en la detección de phishing y en buenas prácticas digitales.

Seguridad de la información vs Norma ISO 27001

En la actualidad, todas las organizaciones requieren y manejan algún grado de información para la realización o cumplimiento de sus operaciones diarias, en muchas ocasiones integrando también “información de identificación personal o datos personales”. Si a la anterior situación, le adicionamos que la información digital crece en cuanto a los tipos y la cantidad de información que se viene manipulando, el panorama se torna mucho más retador para los profesionales y las áreas responsables de la seguridad de la información. Es en este contexto, que ofrecer y garantizar un nivel de protección adecuado contra las amenazas que podrían comprometer la seguridad de la información, ya no es solo una expectativa, sino que se volvió una necesidad o exigencia del mercado y la sociedad.

La norma internacional ISO 27001 en su edición del año 2022, es la contribución hecha por la Organización Internacional de Normalización, para definir los requisitos necesarios para planear y operar un Sistema de Gestión de Seguridad de la Información, de acuerdo con las características contextuales de su propia organización. La norma considera dentro de sus requisitos, algunos enfocados en las actividades de valoración y tratamiento de riesgos de seguridad de la información, de acuerdo con las necesidades de protección de cada organización. Los requisitos establecidos en la norma, son genéricos, facilitando con esto que puedan ser aplicables y cumplidos por cualquier organización, sin importar su tipo (ej. privada o pública), su tamaño (ej. micro, pequeña, mediana o grande) o su naturaleza (ej. financiera, tecnológica, manufactura, aeroespacial, educación, etc.).

Al implementar y certificar su Sistema de Gestión de Seguridad de la Información, se asegura que la confidencialidad, integridad y disponibilidad de la información se protege, mediante la aplicación de un proceso de gestión de riesgos y diversos controles de seguridad de la información, brindando con esto “confianza” a cualquier parte interesada, en que los riesgos a la información se gestionan adecuadamente.

Controles de seguridad de la información

Al implementar un Sistema de Gestión de Seguridad de la Información con base en la norma ISO 27001, la organización deberá definir y aplicar un proceso para el Tratamiento de los Riesgos de (S)eguridad de la (I)nformación (ref. sección 6.1.3), considerando entre otros aspectos los siguientes: 

  1. La selección de las opciones de tratamiento adecuadas para los riesgos de seguridad de la información (ej. aceptar, reducir, evitar, etc.), considerando los resultados del proceso de Valoración de Riesgos de SI.
  2. La determinación de todos los controles de SI que sean necesarios para implementar las opciones de tratamiento seleccionadas.
  3. La elaboración del Plan de tratamiento para garantizar que las opciones y los controles de SI seleccionados, son implementados.

Estos dos últimos puntos se podrán cubrir mediante el uso y determinación de los controles de SI (ej. organizacionales, físicos, etc.) que se encuentran contenidos en el Anexo “A” de la norma ISO 27001, así como mediante el uso complementario de cualquier otra fuente de información especializada (ej. NIST-CSF, CIS Controls o la misma ISO 27017, 27018 y 27032).

Regresando a alguna de las amenazas a la seguridad de la información que vienen evolucionando de manera acelerada, imaginemos por un momento el escenario siguiente: “ocurre un acceso no autorizado a nuestra infraestructura e información corporativa, a través de un usuario utilizado por uno de nuestros proveedores, provocando divulgación de información sensible, ¿qué se debería haber hecho para evitar esta situación? La respuesta puede tener muchas posibilidades, pudiendo ir desde la definición, aplicación y supervisión de una serie de requisitos de seguridad (ej. control de acceso), hasta la elaboración y seguimiento de mejores contratos y acuerdos con los proveedores o terceros.

De acuerdo con los controles de seguridad de la información de la ISO 27001 Anexo “A”, se ha establecido el control: 5.19 Seguridad de la información para la relación con proveedores, en donde se dice que se deben definir e implementar los procesos y procedimientos necesarios para gestionar los riesgos de seguridad de la información, de acuerdo con el tipo de relación establecida con un proveedor o tercero, además se debieran abordar los requisitos de seguridad de la información aplicable a cada tipo de relación con un proveedor (ref. al control 5.20 Abordar la seguridad de la información dentro de los acuerdos con proveedores).

Lo anterior nos señala que ya se han definido una serie de controles organizacionales, con el fin de proteger la información mediante la implementación de medidas o acciones, aplicables a los diversos riesgos de SI, de acuerdo con los resultados de una gestión de riesgos de SI y sin necesidad de estar improvisando (¿seguridad por aproximaciones?).

Reflexión final

En conclusión, la seguridad de la información en los años 2025-2026, está marcada por un crecimiento acelerado de los ataques y los costos globales. En México, es particularmente vulnerable el sector PyME con más del 60% de este tipo de organizaciones mexicanas, experimentando diversos tipos de incidentes mientras que a nivel mundial, los ataques a las telecomunicaciones y los servicios públicos crecieron más del 30%.

También en los años 2025–2026, los sectores más atacados tanto a nivel global como en México son: 1) gobierno, 2) educación, 3) telecomunicaciones, 4) PyMEs, 5) finanzas y 6) salud, ocupando el ransomware y el robo de datos, los primeros lugares en cuanto a las principales amenazas. Los principales motivos y razones de tales tendencias, son:

  • En gobierno y educación, por la gran cantidad de datos personales que manejan.
  • En las telecomunicaciones, porque se puede afectar a millones de usuarios simultáneamente.
  • En las PyMEs mexicanas, porque el sector es el más vulnerable debido a la falta de sistemas, programas o planes formales de seguridad o ciberseguridad.
  • Y finalmente en las finanzas y salud, porque el robo de datos tiene consecuencias económicas y sociales graves.

Si a ti te interesa saber más sobre el tema o cómo podemos apoyarte a desarrollar el Sistema de Gestión de Seguridad de la Información de tu organización, ¡escríbenos, será un gusto platicar contigo y poder ayudarte!

Referencias y/o consultas

1. International Standard ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection - Information security management systems - Requirements.

2. Portal de ISO Standards: https://www.iso.org

3. Portal de SentinelOne: https://www.sentinelone.com/es/cybersecurity-101/cybersecurity/cyber-security-statistics/

4. Portal de Tantius: https://tantius.com.mx/estadisticas-de-ciberseguridad/

5. Blog de PreyProject: https://preyproject.com/es/blog/estadisticas-seguridad-informatica

Information icon

Necesitamos su consentimiento para cargar las traducciones

Utilizamos un servicio de terceros para traducir el contenido del sitio web que puede recopilar datos sobre su actividad. Por favor revise los detalles en la política de privacidad y acepte el servicio para ver las traducciones.