• Barajar
    Activar
    Desactivar
  • Alphabetizar
    Activar
    Desactivar
  • Frente Primero
    Activar
    Desactivar
  • Ambos lados
    Activar
    Desactivar
  • Leer
    Activar
    Desactivar
Leyendo...
Frente

Cómo estudiar sus tarjetas

Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda

Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba

Tecla H: Muestra pista (3er lado).tecla h

Tecla N: Lea el texto en voz.tecla n

image

Boton play

image

Boton play

image

Progreso

1/56

Click para voltear

56 Cartas en este set

  • Frente
  • Atrás
IDENTIDAD
podemos definir entonces la identidad como todas aquellas características que nos hacen únicos el diccionario sf define la identidad como el conjunto de rasgos o características de una persona o cosa que permiten distinguirla de otras en un conjunto
Oxford Conjunto de rasgos o características de una persona o cosa que permiten distinguirla de otras en un conjunto.
QUE ES LA SEGURIDAD DE LA INFORMACIÓN cisco
seguridad de la información según Cisco se define como los procesos y las herramientas diseñadas y desplegadas para proteger información de negocios sensible de modificación interrupción y revisión
PROTEGER INFORMACIÓN
proteger información significa resguardar tres aspectos relevantes la disponibilidad la integridad y la confidencialidad
CONFIDENCIALIDAD
ocurre cuando enfocamos los esfuerzos en evitar los accesos no autorizados a fuentes de datos en tránsito su objetivo es evitar la divulgación
INTEGRIDAD
es cuando nos aseguramos de que el dato no ha sido alterado fuera de los procesos identificados y aprobados por la empresa el dato y sus transformaciones son trazables aquí impactan fuertemente las legislaciones aspectos de negocio y de economía local y global
DISPONIBILIDAD
o accesibilidad implica que sistemas e infraestructura están operativos de acuerdo a las necesidades de la empresa todo lo relacionado a continuidad de negocio es la máxima expresión de los planes de disponibilidad
CON QUÉ TIENE QUE VER LA CONFIDENCIALIDAD
a
DISPONIBILIDAD
se necesita principalmente en el sistema de venta en catálogo disponible y a pedido ventas cotizaciones etcétera además es un sistema que No necesariamente tiene que ser es probable que no sea imperioso tener dos datacenter
INTEGRIDAD
a
****QUÉ PASA SI NO CUMPLIMOS CON LA TRIADA


el 20% de las filtraciones son causadas por credenciales comprometidas 287 es el número promedio de días que tarda una empresa en detectar una filtración de datos en 2020 el promedio era 392 millones pero permítanme volver al primer punto el 20% de las filtraciones son causadas por credenciales comprometidas
TIPOS DE CONTROL EMPRESA
política de control de acceso
seguridad de la información
control de acceso físico
control de acceso a data Center
****PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD
baja y modificación de usuarios acceso físico que tiene relación con sus tarjetas de acceso a un recinto de la compañía los protocolos de visitas y externos entre otros y el control de acceso a datos Center
ESTADÍSTICAS
parece tan evidente tiene directa relación con el 20% de las filtraciones analizadas para generar el informe que fueron 537 filtraciones reales a lo largo de 17 países
*** SISTEMAS CRÍTICOS
gestión de autorizaciones formularios de ADN
UN PROYECTO QUE TUVISTE QUE DAR ACCESO A 15 PERSONAS DE INFORMACIÓN CRÍTICA TIENE QUE CERRAR Y ABRIR LOS ACCESOS QUÉ SE HACE HOY Y QUE ES LO IDEAL
cerramos los accesos y los volvemos a abrir en tres meses respuesta de mundo real era discreción del jefe de proyecto que trabajó con el equipo externo y el potencial incumplimientoralización
AUTOMATIZACIÓN
empresas tienen más trabajo que nunca chile es el sexto paíis y cada formulario levantado autorización pedida vía Meli registro manual de acceso de terceros consume tiempo que las personas podrían estar utilizando en la carga laboral que tienen asignada automatizar no solo hace eficiente el uso del tiempo sino que evita errores y omisiones manuales
SEGURIDAD DE LA INFORMACIÓN
seguridad de la información es un conjunto de acciones que tienen por objetivo proteger la información del negocio negocio es transversal a la empresa y su incumplimiento puede conllevar grandes costos
RELEVANCIA DE LA SI
en José que es el conjunto de métodos que la empresa utiliza para proteger su información seguridad de la información
ISO 27001
estructura organizacional robusta que permita
GESTIONAR RIESGOS
MITIGAR AMENAZAS
TRAZAR EVENTOS


es la madre de Los estándares internacionales relacionados con la seguridad de la información veamos su definición se define la isobarra diagonal y f-27001 como tila norma que permite el aseguramiento la confidencialidad de integridad de los datos y de la información así como de los sistemas que la procesan basada en la mejora continua que es un proceso permanente de monitoreo revisión
QUÉ ENTREGA LA ISO
además indica que entrega herramientas a la organización para la evaluación del riesgo y la aplicación de controles necesarios para mitigarlos concepto en la medida que avancen en conocimientos de seguridad de la información y ciberseguridad. el objetivo central un sistema de gestión de seguridad que permita la evaluación de riesgos y la gestión de amenazas que puedan poner en peligro la información de una organización
NORMA NIST CSF
Es un marco que busca implementar un entorno de gobierno de ciberseguridad. es de alto nivel y Abarca todo el proceso de implementación de un plan de seguridad.

detección y respuesta a incidentes
CONTROLES CIS CIS
los controles de seguridad crítica cis son complementarios residiendo en un nivel más técnico comparte etapas con csf pero busca acciones concretas enfocadas en la línea operativa tecnológica aportando con puntos tales como la configuración segura de dispositivos y servidores.

controles críticos de seguridad
QUÉ ES UN RIESGO
se entiende como riesgo a la posibilidad de que se produzca un evento y la magnitud de su impacto negativo
unidades de riesgo ubicadas en segunda línea de defensa tienen dedicación exclusiva a la gestión del riesgo empresarial en todo en todo su espectro monitor estratégico riesgo de continuidad de negocios actualizar seguridad
MITIGACIÓN
definición de acciones que evitan que el evento ocurra o minimizan su impacto
TRASPASO
traspaso privación de las consecuencias de la materialización del riesgo a terceros por ejemplo contratación de seguros
ACEPTACIÓN
aceptación no adopción de medida alguna de mitigación se considera el riesgo inmaterial requiere aceptación ejecutiva
EVASIÓN
admiración de la acción o actividad que genera el riesgo
PARA QUÉ SE GESTIONAN RIESGOS
hombre que se levantan y para que se gestionan riesgos para hacer nuestra compañía más segura mediante el levantamiento de controles de controles sobre las amenazas que pesan sobre nuestros activos de información
MODELO DE TRES LÍNEAS DE DEFENSA
un indicaría de instituto global este modelo ayuda a las organizaciones a identificar las estructuras y los procesos que mejor facilitan el logro de los objetivos y promuevan un gobierno sólido y gestión de riesgo
# ACTIVOS DE INFORMACIÓN
l

son las unidades o elementos de almacenamiento procesamiento protección operación o transmisión de información dentro de la organización así como también aquellos que operen hacia terceros interesados como clientes proveedores reguladores entre otros.

activos de información clasificación registro y relevancia en la organización modelo tres líneas de defensa organismo gobierno/consejo/
LÍNEAS DE CONTROL
primera línea de defensa defensa medidas control control gerencia interno
segunda línea de control línea defensa controles financieros seguridad gestión de riesgo
tercera línea de defensa auditoría interna básicamente este modelo indica que toda organización se divide en tres partes la primera línea operativa la segunda solo encargado de supervisar y apoyar a la primera línea y la tercera es independiente y no responde a la gerencias de la empresa.
PRIMERA LÍNEA OPERATIVA
herencias y sus trincheras son dueños de los riesgos y de los controles a implementar
SEGUNDA LÍNEA
cargados de supervisar y apoyar a la primera línea entregando lineamientos de gestión de riesgo y seguridad la efectividad de la identificación de riesgos o la mitigación de riesgos no depende de esta línea
TERCERA LÍNEA
la tercera es independiente y no responde a las herencias de la empresa sino a la alta dirección en este caso tenemos la auditoría interna y es importante entender que ellos no aplican controles el cumplimiento de las normas internas y externas para que la empresa se adhiere
dato
un dato es lo que contiene un dato
información
es un dato procesado
la información tiene distintos estados la información puede estar procesada almacenada o en tránsito
OSI N T
búsqueda de información en fuentes públicas
PROCESO DE IDENTIFICACIÓN
identificación de todos los activos de información que tienen algún valor para la organización
la vinculación de las amenazas relevantes con los activos identificados.
determinación de las vulnerabilidades que pueden ser aprovechadas por dichas amenazas
identificar el impacto que podría suponer la pérdida de confidencialidad integridad y disponibilidad para cada activo
proceso de identificación
identificación de todos los activos de información que tienen un valor para la empresa

la vinculación de las amenazas relevantes con los activos identificados

la determinación de la vulnerabilidades que pueden ser aprovechadas por dicha amenaza

identificar el impacto que podría suponer la pérdida de confidencialidad integridad y disponibilidad para cada activo



en correcto preciso identificación implica identificar activos amenazas vulnerabilidades e impacto.
# clasificaciones de los riesgo
financieros
tecnológicos
reputacionales
estratégicos
continuidad de negocios
CATEGORÍA DE LOS ACTIVOS DE INFORMACIÓn
personas software infraestructura servicios proveedores información y redes
ENFOQUE EN PROCESOS
seguridad de aplicaciones
seguridad en la nube
criptografía
seguridad infraestructura
respuesta a incidentes
gestión de vulnerabilidades
## tres líneas de defensa en activo de información
gobierno
consejo
comité auditoría
del comité de auditoría se desprende
primera línea de defensa
segunda línea de defensa
y tercera línea de defensa
PRIMERA LÍNEA DE DEFENSA
controles gerencia
medidas de control interno
segunda línea de defensa
controles financieros
seguridad
gestión de riesgos
calidad
inspección
cumplimiento
tercera línea de defensa
auditoría interna
ESTRUCTURA DE NIST CSF
identificar: gestión de activos, entorno empresarial, gobierno, evaluación de riesgo, estrategia de gestión de riesgo.
proteger: control de acceso, concientización y formación, seguridad de los datos, procesos y procedimientos de seguridad de la información, mantenimiento, tecnología de protección.
detectar: anomalías y eventos, monitoreo continuo de seguridad, proceso de detección.
responder: planificación de respuestas, comunicaciones, análisis, mitigación, mejora continua.
recuperación : planes de recuperación, mejora continua, comunicaciones.
ACTIVOS DE INFORMACIÓN CÁPSULA
activos de información
proceso de identificación
clasificaciones de riesgo
CÓMO ES LA IDENTIFICACIÓN DE ACTIVOS EN UN INCIDENTE
El computador es un activo
con el gestor de contenido
módulo de m a i l i n g
contenido del módulo
listado de clientes
administrador del gestor de contenido
proveedor de internet
página web
este ejemplo muestra siete activos
CÓMO ES LA IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES EN UN INCIDENTE
se hace una tabla de cuatro columnas activo, tipo, amenazas y vulnerabilidades.
ACTIVO: PC de escritorio, módulo de mail, lista de clientes, administrador del gestor de contenido.
TIPO: infraestructura, servicio, información, personas.
AMENAZAS: hacker, obsolescencia, ciberataque, vulneración de integridad, hacker.
VULNERABILIDADES: no existe gestión de contraseñas, actualización de antivirus manual. vulnerabilidad de día cero, exposición de información comercial en internet, modificación no autorizada, no la cultura de riesgo bitching robo de credenciales.
CÓMO ES LA DETERMINACIÓN DE IMPACTO
es posible tener un listado de preguntas tipo para poder hacer un informe de impacto.
este tipo de análisis es importante en etapas tempranas de diseño de sistema ya que tienen mucho que ver con la definición de la información que se almacenará como se almacenará cómo se tratará en tránsito y cuál será su clasificación de seguridad.
COMPLETANDO CONCEPTOS
los activos de información son las unidades o elementos de almacenamiento procedimiento procesamiento protección operación o transmisión de información dentro de la organización así como también aquellos que operan hacia terceros interesados como clientes proveedores reguladores entre otros. un correcto proceso de identificación implica acciones como identificar los activos vincular las amenazas determinar las vulnerabilidades e identificar los posibles impactos.
CONCLUSIONES
los activos de información son unidades o elementos de almacenamiento procesamiento protección operación o transmisión de información dentro de la organización así como también aquellos que operen hacia terceros interesados.

el proceso de identificación implica la identificación de activos de información la vinculación de las amenazas relevantes con los activos identificados la determinación de vulnerabilidades que pueden ser aprovechadas y la identificación de los posibles impactos.

los riesgos pueden ser financieros tecnológicos reputacionales estratégicos y de continuidad de negocio.
enfoque de ámbito
ciberseguridad
seguridad física
seguridad Informática
enfoque de procesos
Seguridad de aplicaciones
seguridad de la nube
Gestión de Vulnerabilidades
respuesta a incidentes
criptografía
seguridad de infraestructura