- Barajar
ActivarDesactivar
- Alphabetizar
ActivarDesactivar
- Frente Primero
ActivarDesactivar
- Ambos lados
ActivarDesactivar
- Leer
ActivarDesactivar
Leyendo...
Cómo estudiar sus tarjetas
Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda
Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba
Tecla H: Muestra pista (3er lado).tecla h
Tecla N: Lea el texto en voz.tecla n
Boton play
Boton play
53 Cartas en este set
- Frente
- Atrás
IDENTIDAD
|
todas aquellas características que nos hacen únicos diccionario de Oxford define la identidad como el conjunto de rasgos o características de una persona o cosa que permiten distinguirla de otras en un conjunto
|
qué es la seguridad de la información
|
misión protección de datos e información crítica en todos los estados en todos los dispositivos en todo momento
es el conjunto de procesos y herramientas diseñadas y desplegadas para proteger información crítica de negocios o personal de la modificación interrupción, destrucción o revisión no autorizada. |
enfoque de ámbitos
|
ciberseguridad seguridad física y seguridad informática
|
enfoque de procesos
|
seguridad de aplicaciones seguridad en la nube criptografía
seguridad de infraestructura respuesta a incidentes gestión de vulnerabilidades |
aspectos relevantes
|
integridad confidencialidad y disponibilidad
|
confidencialidad
|
enfocamos los esfuerzos en evitar los accesos no autorizados a fuentes de datos o datos en tránsito su objetivo es evitar la divulgación de lo que la empresa no clasifica como público la criptografía tiene mucho que decir aquí
|
i integridad
|
Y cuándo nos aseguramos de que el dato no ha sido alterado fuera de los procesos identificados y aprobados por la empresa el dato y sus transformaciones son trazables y replicables aquí impactan fuertemente las legislaciones aspectos de negocio y de economía local y global
|
disponibilidad
|
disponibilidad implica que sistemas e infraestructuras están operativos de acuerdo a las necesidades de la empresa todo lo relacionado a continuidad de negocio es la máxima expresión de los planes de disponibilidad
|
política de acceso
|
en la imagen se ven tres tipos de políticas de acceso ABM, baja modificación de usuarios, acceso físico ,.
|
respuesta del mundo real
|
queda discreción del jefe de proyecto que trabajó con el equipo externo y el potencial incumplimiento queda Mercedes que es segunda o tercera línea en su función supervisora y monitora lo encuentren Y soliciten su regulación
|
qué es la infosec
|
la infotec es el conjunto de métodos que la empresa utiliza para proteger su información.
|
normativa 27 001
|
la norma permite el aseguramiento la confidencialidad e integridad de los datos y de la información así como de los sistemas que la procesan. además indica que entrega herramientas a la organización para la evaluación de riesgo y la aplicación de control necesario para mitigarlo s
|
norma nist - CIS
|
echándole más bajo nivel de detección y respuesta incidentes o los controles controles críticos de seguridad
|
objetivo de la norma
|
aportar un entorno de control sobre cuál puede establecerse un sistema de gestión de seguridad de la información
sgsi |
riesgo
|
posibilidad de que se produzca un evento y la magnitud de su impacto negativo se calcula como ixt impacto por probabilidad todo riesgo tiene cuatro formas de ser abordado se mitiga se traspasa se acepta o se evade.
|
mitigación
|
definición de acciones que evitan que el evento ocurra o minimiza en su impacto
|
traspaso
|
derivación de las consecuencias de la materialización de riesgo a terceros por ejemplo la contratación de seguros
|
aceptación
|
no adopción de medida alguna de mitigación se considera el riesgo inmaterial requiere de aceptación ejecutiva
|
evasión
|
eliminación de la acción o actividad que genere el riesgo
|
gestión de seguridad de la información
gestión de riesgo sobre qué se levantan los controles |
para gestionar los riesgos adecuadamente
para hacer nuestra compañía más segura mediante el levantamiento de controles sobre las amenazas que pesan sobre nuestros activos de información |
qué es la mejora continua
|
proceso permanente de monitoreo revisión y actualización
|
clasificación de riesgo
|
financiero estratégico operacional tecnológico continuidad de negocio y de la información
|
modelo de tres líneas de defensa
|
según indica el iia es un modelo que ayuda a las organizaciones a identificar las estructuras y los procesos que mejor facilitan el logro de los objetivos y promueven un gobierno sólido y gestión de riesgo
|
primera línea de defensa
|
operativa las gerencias
controles gerencia medidas control interno |
segunda línea de defensa
|
supervisan y apoyan a la primera línea entregando el lineamientos de gestión de riesgo y seguridad
controles financieros seguridad gestión de riesgos calidad inspección cumplimiento |
tercera línea de defensa
|
responde a la alta dirección, le aviso súper vigila en el cumplimiento de las normas internas y externas
auditoría interna |
qué nos aporta la norma 27001
|
nos entrega alineamientos internacionalmente reconocidos de gestión integral de riesgo permitiendo nuestra organización levantar gobiernos de seguridad robustos resilientes y con cultura de riesgo
|
activos de información
|
son las unidades o elementos de almacenamiento procesamiento protección operación o transmisión de información dentro de la organización así como también aquellos que operan hacia terceros interesados como clientes proveedores reguladores entre otros
|
de los activos de información
|
software infraestructura servicio proveedores información redes y personas
|
correcto proceso de identificación
|
la identificación de todos los activos de información que tienen valor para la organización
vinculación de las amenazas determinación de las vulnerabilidades identificación del impacto |
identificación de amenazas y vulnerabilidades
|
activo
tipo amenazas vulnerabilidades |
qué son los activos de la información
|
toda infraestructura física y virtual sistema software personas internas y externas e información generada procesada transportado almacenada portada que el organismo maneja.
cada uno de los activos deben ser identificados y tasados en su relevancia para el entorno |
buenas prácticas
|
grupo de acciones más detalladas respecto a lo técnico y que son recomendadas pero que no son certificables
|
ejemplo de buenas prácticas
|
ciber security framework nist
troles de seguridad cis |
nist Csf
|
es un marco de adhesión voluntaria que busca entregar un marco de ciberseguridad que ayude a las organizaciones a gestionar riesgos y pon especial énfasis en las comunicaciones entre partes interesadas tanto internas como externas este proviene desde el departamento de comercio de Estados Unidos su nombre significa instituto nacional de estándares y tecnología
|
n i s t csf
|
posee una estructura dividida en tres núcleo del marco
niveles de implementación y perfiles la oea definió la estructura como el conjunto de actividades y resultados de ciberseguridad deseados organizados en categorías y que están alineados con referencias informativas las cuales son aceptadas por la industria |
estructura de nist csf
|
identificar proteger detectar responder recuperación
|
estructura identificar
|
gestión de activos entorno empresarial gobierno evaluación de riesgo estrategia de gestión de riesgo
|
estructura proteger
|
control de acceso concientización y formación seguridad de datos procesos y procedimientos de seguridad de información mantenimiento tecnología de protección
|
estructura detectar
|
anomalías y eventos
monitoreo continuo de seguridad proceso de detección |
estructura responder
|
planificación de respuestas comunicaciones análisis mitigación mejora continua
|
estructura recuperación
|
planes de recuperación
mejora continua comunicaciones |
niveles de implementación
|
parcial informado repetible adaptado
horizontal proceso de gestión de riesgos programa de gestión integrada de riesgos participación externa |
los perfiles
|
los perfiles son la alineación única de una organización de sus requisitos y objetivos y organizacionales la tolerancia el riesgo y los recursos con respecto a los resultados deseados del framework cote
|
controles de seguridad crítica cis
|
son 20 controles que se dividen en tres niveles
controles básicos controles fundamentales controles organizacionales |
nivel básico
|
incluye aspectos como inventario y control de activos de hardware y software gestión de vulnerabilidades uso de privilegios administrativos configuración de dispositivos de usuario final y servidores y mantenimiento monitoreo y logs auditoría.
|
nivel fundamental
|
protección de correo electrónico y navegación web medidas antivirus gestión de puertos de red protocolos y servicios recuperación de datos configuración de dispositivos de red seguridad física y de datos control de acceso basado en un nit to know control de acceso inalámbrico y monitoreo y control de cuentas
|
nivel organizacional
|
temas programas de concienciación y capacitación seguridad en desarrollo de software respuesta y gestión de incidentes y pen test y red team
|
diferencia entre n y s t y Cis
|
el primero es un marco general que busca implementar un entorno de gobierno de ciberseguridad y el segundo en seguridad crítica son complementarios residiendo en un nivel más técnico comparte etapas con csf pero busca acciones concretas enfocadas en la línea operativa tecnológica aportando con puntos tales como la configuración segura de positivos y servidores
|
ley 19,628
|
protección de la vida privada
|
ley 21,459
|
delitos informáticos
|
gdpr
|
general data protection regulation
|
normativa interna
|
políticas y procedimientos
|