- Barajar
ActivarDesactivar
- Alphabetizar
ActivarDesactivar
- Frente Primero
ActivarDesactivar
- Ambos lados
ActivarDesactivar
- Leer
ActivarDesactivar
Leyendo...
Cómo estudiar sus tarjetas
Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda
Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba
Tecla H: Muestra pista (3er lado).tecla h
Tecla N: Lea el texto en voz.tecla n
Boton play
Boton play
56 Cartas en este set
- Frente
- Atrás
IDENTIDAD
|
podemos definir entonces la identidad como todas aquellas características que nos hacen únicos el diccionario sf define la identidad como el conjunto de rasgos o características de una persona o cosa que permiten distinguirla de otras en un conjunto
Oxford Conjunto de rasgos o características de una persona o cosa que permiten distinguirla de otras en un conjunto. |
QUE ES LA SEGURIDAD DE LA INFORMACIÓN cisco
|
seguridad de la información según Cisco se define como los procesos y las herramientas diseñadas y desplegadas para proteger información de negocios sensible de modificación interrupción y revisión
|
PROTEGER INFORMACIÓN
|
proteger información significa resguardar tres aspectos relevantes la disponibilidad la integridad y la confidencialidad
|
CONFIDENCIALIDAD
|
ocurre cuando enfocamos los esfuerzos en evitar los accesos no autorizados a fuentes de datos en tránsito su objetivo es evitar la divulgación
|
INTEGRIDAD
|
es cuando nos aseguramos de que el dato no ha sido alterado fuera de los procesos identificados y aprobados por la empresa el dato y sus transformaciones son trazables aquí impactan fuertemente las legislaciones aspectos de negocio y de economía local y global
|
DISPONIBILIDAD
|
o accesibilidad implica que sistemas e infraestructura están operativos de acuerdo a las necesidades de la empresa todo lo relacionado a continuidad de negocio es la máxima expresión de los planes de disponibilidad
|
CON QUÉ TIENE QUE VER LA CONFIDENCIALIDAD
|
a
|
DISPONIBILIDAD
|
se necesita principalmente en el sistema de venta en catálogo disponible y a pedido ventas cotizaciones etcétera además es un sistema que No necesariamente tiene que ser es probable que no sea imperioso tener dos datacenter
|
INTEGRIDAD
|
a
|
****QUÉ PASA SI NO CUMPLIMOS CON LA TRIADA
|
el 20% de las filtraciones son causadas por credenciales comprometidas 287 es el número promedio de días que tarda una empresa en detectar una filtración de datos en 2020 el promedio era 392 millones pero permítanme volver al primer punto el 20% de las filtraciones son causadas por credenciales comprometidas |
TIPOS DE CONTROL EMPRESA
|
política de control de acceso
seguridad de la información control de acceso físico control de acceso a data Center |
****PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD
|
baja y modificación de usuarios acceso físico que tiene relación con sus tarjetas de acceso a un recinto de la compañía los protocolos de visitas y externos entre otros y el control de acceso a datos Center
|
ESTADÍSTICAS
|
parece tan evidente tiene directa relación con el 20% de las filtraciones analizadas para generar el informe que fueron 537 filtraciones reales a lo largo de 17 países
|
*** SISTEMAS CRÍTICOS
|
gestión de autorizaciones formularios de ADN
|
UN PROYECTO QUE TUVISTE QUE DAR ACCESO A 15 PERSONAS DE INFORMACIÓN CRÍTICA TIENE QUE CERRAR Y ABRIR LOS ACCESOS QUÉ SE HACE HOY Y QUE ES LO IDEAL
|
cerramos los accesos y los volvemos a abrir en tres meses respuesta de mundo real era discreción del jefe de proyecto que trabajó con el equipo externo y el potencial incumplimientoralización
|
AUTOMATIZACIÓN
|
empresas tienen más trabajo que nunca chile es el sexto paíis y cada formulario levantado autorización pedida vía Meli registro manual de acceso de terceros consume tiempo que las personas podrían estar utilizando en la carga laboral que tienen asignada automatizar no solo hace eficiente el uso del tiempo sino que evita errores y omisiones manuales
|
SEGURIDAD DE LA INFORMACIÓN
|
seguridad de la información es un conjunto de acciones que tienen por objetivo proteger la información del negocio negocio es transversal a la empresa y su incumplimiento puede conllevar grandes costos
|
RELEVANCIA DE LA SI
|
en José que es el conjunto de métodos que la empresa utiliza para proteger su información seguridad de la información
|
ISO 27001
|
estructura organizacional robusta que permita
GESTIONAR RIESGOS MITIGAR AMENAZAS TRAZAR EVENTOS es la madre de Los estándares internacionales relacionados con la seguridad de la información veamos su definición se define la isobarra diagonal y f-27001 como tila norma que permite el aseguramiento la confidencialidad de integridad de los datos y de la información así como de los sistemas que la procesan basada en la mejora continua que es un proceso permanente de monitoreo revisión |
QUÉ ENTREGA LA ISO
|
además indica que entrega herramientas a la organización para la evaluación del riesgo y la aplicación de controles necesarios para mitigarlos concepto en la medida que avancen en conocimientos de seguridad de la información y ciberseguridad. el objetivo central un sistema de gestión de seguridad que permita la evaluación de riesgos y la gestión de amenazas que puedan poner en peligro la información de una organización
|
NORMA NIST CSF
|
Es un marco que busca implementar un entorno de gobierno de ciberseguridad. es de alto nivel y Abarca todo el proceso de implementación de un plan de seguridad.
detección y respuesta a incidentes |
CONTROLES CIS CIS
|
los controles de seguridad crítica cis son complementarios residiendo en un nivel más técnico comparte etapas con csf pero busca acciones concretas enfocadas en la línea operativa tecnológica aportando con puntos tales como la configuración segura de dispositivos y servidores.
controles críticos de seguridad |
QUÉ ES UN RIESGO
|
se entiende como riesgo a la posibilidad de que se produzca un evento y la magnitud de su impacto negativo
unidades de riesgo ubicadas en segunda línea de defensa tienen dedicación exclusiva a la gestión del riesgo empresarial en todo en todo su espectro monitor estratégico riesgo de continuidad de negocios actualizar seguridad |
MITIGACIÓN
|
definición de acciones que evitan que el evento ocurra o minimizan su impacto
|
TRASPASO
|
traspaso privación de las consecuencias de la materialización del riesgo a terceros por ejemplo contratación de seguros
|
ACEPTACIÓN
|
aceptación no adopción de medida alguna de mitigación se considera el riesgo inmaterial requiere aceptación ejecutiva
|
EVASIÓN
|
admiración de la acción o actividad que genera el riesgo
|
PARA QUÉ SE GESTIONAN RIESGOS
|
hombre que se levantan y para que se gestionan riesgos para hacer nuestra compañía más segura mediante el levantamiento de controles de controles sobre las amenazas que pesan sobre nuestros activos de información
|
MODELO DE TRES LÍNEAS DE DEFENSA
|
un indicaría de instituto global este modelo ayuda a las organizaciones a identificar las estructuras y los procesos que mejor facilitan el logro de los objetivos y promuevan un gobierno sólido y gestión de riesgo
|
# ACTIVOS DE INFORMACIÓN
|
l
son las unidades o elementos de almacenamiento procesamiento protección operación o transmisión de información dentro de la organización así como también aquellos que operen hacia terceros interesados como clientes proveedores reguladores entre otros. activos de información clasificación registro y relevancia en la organización modelo tres líneas de defensa organismo gobierno/consejo/ |
LÍNEAS DE CONTROL
|
primera línea de defensa defensa medidas control control gerencia interno
segunda línea de control línea defensa controles financieros seguridad gestión de riesgo tercera línea de defensa auditoría interna básicamente este modelo indica que toda organización se divide en tres partes la primera línea operativa la segunda solo encargado de supervisar y apoyar a la primera línea y la tercera es independiente y no responde a la gerencias de la empresa. |
PRIMERA LÍNEA OPERATIVA
|
herencias y sus trincheras son dueños de los riesgos y de los controles a implementar
|
SEGUNDA LÍNEA
|
cargados de supervisar y apoyar a la primera línea entregando lineamientos de gestión de riesgo y seguridad la efectividad de la identificación de riesgos o la mitigación de riesgos no depende de esta línea
|
TERCERA LÍNEA
|
la tercera es independiente y no responde a las herencias de la empresa sino a la alta dirección en este caso tenemos la auditoría interna y es importante entender que ellos no aplican controles el cumplimiento de las normas internas y externas para que la empresa se adhiere
|
dato
|
un dato es lo que contiene un dato
|
información
|
es un dato procesado
la información tiene distintos estados la información puede estar procesada almacenada o en tránsito |
OSI N T
|
búsqueda de información en fuentes públicas
|
PROCESO DE IDENTIFICACIÓN
|
identificación de todos los activos de información que tienen algún valor para la organización
la vinculación de las amenazas relevantes con los activos identificados. determinación de las vulnerabilidades que pueden ser aprovechadas por dichas amenazas identificar el impacto que podría suponer la pérdida de confidencialidad integridad y disponibilidad para cada activo |
proceso de identificación
|
identificación de todos los activos de información que tienen un valor para la empresa
la vinculación de las amenazas relevantes con los activos identificados la determinación de la vulnerabilidades que pueden ser aprovechadas por dicha amenaza identificar el impacto que podría suponer la pérdida de confidencialidad integridad y disponibilidad para cada activo en correcto preciso identificación implica identificar activos amenazas vulnerabilidades e impacto. |
# clasificaciones de los riesgo
|
financieros
tecnológicos reputacionales estratégicos continuidad de negocios |
CATEGORÍA DE LOS ACTIVOS DE INFORMACIÓn
|
personas software infraestructura servicios proveedores información y redes
|
ENFOQUE EN PROCESOS
|
seguridad de aplicaciones
seguridad en la nube criptografía seguridad infraestructura respuesta a incidentes gestión de vulnerabilidades |
## tres líneas de defensa en activo de información
|
gobierno
consejo comité auditoría |
del comité de auditoría se desprende
|
primera línea de defensa
segunda línea de defensa y tercera línea de defensa |
PRIMERA LÍNEA DE DEFENSA
|
controles gerencia
medidas de control interno |
segunda línea de defensa
|
controles financieros
seguridad gestión de riesgos calidad inspección cumplimiento |
tercera línea de defensa
|
auditoría interna
|
ESTRUCTURA DE NIST CSF
|
identificar: gestión de activos, entorno empresarial, gobierno, evaluación de riesgo, estrategia de gestión de riesgo.
proteger: control de acceso, concientización y formación, seguridad de los datos, procesos y procedimientos de seguridad de la información, mantenimiento, tecnología de protección. detectar: anomalías y eventos, monitoreo continuo de seguridad, proceso de detección. responder: planificación de respuestas, comunicaciones, análisis, mitigación, mejora continua. recuperación : planes de recuperación, mejora continua, comunicaciones. |
ACTIVOS DE INFORMACIÓN CÁPSULA
|
activos de información
proceso de identificación clasificaciones de riesgo |
CÓMO ES LA IDENTIFICACIÓN DE ACTIVOS EN UN INCIDENTE
|
El computador es un activo
con el gestor de contenido módulo de m a i l i n g contenido del módulo listado de clientes administrador del gestor de contenido proveedor de internet página web este ejemplo muestra siete activos |
CÓMO ES LA IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES EN UN INCIDENTE
|
se hace una tabla de cuatro columnas activo, tipo, amenazas y vulnerabilidades.
ACTIVO: PC de escritorio, módulo de mail, lista de clientes, administrador del gestor de contenido. TIPO: infraestructura, servicio, información, personas. AMENAZAS: hacker, obsolescencia, ciberataque, vulneración de integridad, hacker. VULNERABILIDADES: no existe gestión de contraseñas, actualización de antivirus manual. vulnerabilidad de día cero, exposición de información comercial en internet, modificación no autorizada, no la cultura de riesgo bitching robo de credenciales. |
CÓMO ES LA DETERMINACIÓN DE IMPACTO
|
es posible tener un listado de preguntas tipo para poder hacer un informe de impacto.
este tipo de análisis es importante en etapas tempranas de diseño de sistema ya que tienen mucho que ver con la definición de la información que se almacenará como se almacenará cómo se tratará en tránsito y cuál será su clasificación de seguridad. |
COMPLETANDO CONCEPTOS
|
los activos de información son las unidades o elementos de almacenamiento procedimiento procesamiento protección operación o transmisión de información dentro de la organización así como también aquellos que operan hacia terceros interesados como clientes proveedores reguladores entre otros. un correcto proceso de identificación implica acciones como identificar los activos vincular las amenazas determinar las vulnerabilidades e identificar los posibles impactos.
|
CONCLUSIONES
|
los activos de información son unidades o elementos de almacenamiento procesamiento protección operación o transmisión de información dentro de la organización así como también aquellos que operen hacia terceros interesados.
el proceso de identificación implica la identificación de activos de información la vinculación de las amenazas relevantes con los activos identificados la determinación de vulnerabilidades que pueden ser aprovechadas y la identificación de los posibles impactos. los riesgos pueden ser financieros tecnológicos reputacionales estratégicos y de continuidad de negocio. |
enfoque de ámbito
|
ciberseguridad
seguridad física seguridad Informática |
enfoque de procesos
|
Seguridad de aplicaciones
seguridad de la nube Gestión de Vulnerabilidades respuesta a incidentes criptografía seguridad de infraestructura |