• Barajar
    Activar
    Desactivar
  • Alphabetizar
    Activar
    Desactivar
  • Frente Primero
    Activar
    Desactivar
  • Ambos lados
    Activar
    Desactivar
  • Leer
    Activar
    Desactivar
Leyendo...
Frente

Cómo estudiar sus tarjetas

Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda

Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba

Tecla H: Muestra pista (3er lado).tecla h

Tecla N: Lea el texto en voz.tecla n

image

Boton play

image

Boton play

image

Progreso

1/53

Click para voltear

53 Cartas en este set

  • Frente
  • Atrás
IDENTIDAD
todas aquellas características que nos hacen únicos diccionario de Oxford define la identidad como el conjunto de rasgos o características de una persona o cosa que permiten distinguirla de otras en un conjunto
qué es la seguridad de la información
misión protección de datos e información crítica en todos los estados en todos los dispositivos en todo momento
es el conjunto de procesos y herramientas diseñadas y desplegadas para proteger información crítica de negocios o personal de la modificación interrupción, destrucción o revisión no autorizada.
enfoque de ámbitos
ciberseguridad seguridad física y seguridad informática
enfoque de procesos
seguridad de aplicaciones seguridad en la nube criptografía
seguridad de infraestructura respuesta a incidentes
gestión de vulnerabilidades
aspectos relevantes
integridad confidencialidad y disponibilidad
confidencialidad
enfocamos los esfuerzos en evitar los accesos no autorizados a fuentes de datos o datos en tránsito su objetivo es evitar la divulgación de lo que la empresa no clasifica como público la criptografía tiene mucho que decir aquí
i integridad
Y cuándo nos aseguramos de que el dato no ha sido alterado fuera de los procesos identificados y aprobados por la empresa el dato y sus transformaciones son trazables y replicables aquí impactan fuertemente las legislaciones aspectos de negocio y de economía local y global
disponibilidad
disponibilidad implica que sistemas e infraestructuras están operativos de acuerdo a las necesidades de la empresa todo lo relacionado a continuidad de negocio es la máxima expresión de los planes de disponibilidad
política de acceso
en la imagen se ven tres tipos de políticas de acceso ABM, baja modificación de usuarios, acceso físico ,.
respuesta del mundo real
queda discreción del jefe de proyecto que trabajó con el equipo externo y el potencial incumplimiento queda Mercedes que es segunda o tercera línea en su función supervisora y monitora lo encuentren Y soliciten su regulación
qué es la infosec
la infotec es el conjunto de métodos que la empresa utiliza para proteger su información.
normativa 27 001
la norma permite el aseguramiento la confidencialidad e integridad de los datos y de la información así como de los sistemas que la procesan. además indica que entrega herramientas a la organización para la evaluación de riesgo y la aplicación de control necesario para mitigarlo s
norma nist - CIS
echándole más bajo nivel de detección y respuesta incidentes o los controles controles críticos de seguridad
objetivo de la norma
aportar un entorno de control sobre cuál puede establecerse un sistema de gestión de seguridad de la información
sgsi
riesgo
posibilidad de que se produzca un evento y la magnitud de su impacto negativo se calcula como ixt impacto por probabilidad todo riesgo tiene cuatro formas de ser abordado se mitiga se traspasa se acepta o se evade.
mitigación
definición de acciones que evitan que el evento ocurra o minimiza en su impacto
traspaso
derivación de las consecuencias de la materialización de riesgo a terceros por ejemplo la contratación de seguros
aceptación
no adopción de medida alguna de mitigación se considera el riesgo inmaterial requiere de aceptación ejecutiva
evasión
eliminación de la acción o actividad que genere el riesgo
gestión de seguridad de la información
gestión de riesgo
sobre qué se levantan los controles
para gestionar los riesgos adecuadamente
para hacer nuestra compañía más segura mediante el levantamiento de controles
sobre las amenazas que pesan sobre nuestros activos de información
qué es la mejora continua
proceso permanente de monitoreo revisión y actualización
clasificación de riesgo
financiero estratégico operacional tecnológico continuidad de negocio y de la información
modelo de tres líneas de defensa
según indica el iia es un modelo que ayuda a las organizaciones a identificar las estructuras y los procesos que mejor facilitan el logro de los objetivos y promueven un gobierno sólido y gestión de riesgo
primera línea de defensa
operativa las gerencias
controles gerencia
medidas control interno
segunda línea de defensa
supervisan y apoyan a la primera línea entregando el lineamientos de gestión de riesgo y seguridad
controles financieros
seguridad
gestión de riesgos
calidad
inspección
cumplimiento
tercera línea de defensa
responde a la alta dirección, le aviso súper vigila en el cumplimiento de las normas internas y externas
auditoría interna
qué nos aporta la norma 27001
nos entrega alineamientos internacionalmente reconocidos de gestión integral de riesgo permitiendo nuestra organización levantar gobiernos de seguridad robustos resilientes y con cultura de riesgo
activos de información
son las unidades o elementos de almacenamiento procesamiento protección operación o transmisión de información dentro de la organización así como también aquellos que operan hacia terceros interesados como clientes proveedores reguladores entre otros
de los activos de información
software infraestructura servicio proveedores información redes y personas
correcto proceso de identificación
la identificación de todos los activos de información que tienen valor para la organización
vinculación de las amenazas
determinación de las vulnerabilidades
identificación del impacto
identificación de amenazas y vulnerabilidades
activo
tipo
amenazas
vulnerabilidades
qué son los activos de la información
toda infraestructura física y virtual sistema software personas internas y externas e información generada procesada transportado almacenada portada que el organismo maneja.
cada uno de los activos deben ser identificados y tasados en su relevancia para el entorno
buenas prácticas
grupo de acciones más detalladas respecto a lo técnico y que son recomendadas pero que no son certificables
ejemplo de buenas prácticas
ciber security framework nist
troles de seguridad cis
nist Csf
es un marco de adhesión voluntaria que busca entregar un marco de ciberseguridad que ayude a las organizaciones a gestionar riesgos y pon especial énfasis en las comunicaciones entre partes interesadas tanto internas como externas este proviene desde el departamento de comercio de Estados Unidos su nombre significa instituto nacional de estándares y tecnología
n i s t csf
posee una estructura dividida en tres núcleo del marco
niveles de implementación y perfiles la oea definió la estructura como el conjunto de actividades y resultados de ciberseguridad deseados organizados en categorías y que están alineados con referencias informativas las cuales son aceptadas por la industria
estructura de nist csf
identificar proteger detectar responder recuperación
estructura identificar
gestión de activos entorno empresarial gobierno evaluación de riesgo estrategia de gestión de riesgo
estructura proteger
control de acceso concientización y formación seguridad de datos procesos y procedimientos de seguridad de información mantenimiento tecnología de protección
estructura detectar
anomalías y eventos
monitoreo continuo de seguridad
proceso de detección
estructura responder
planificación de respuestas comunicaciones análisis mitigación mejora continua
estructura recuperación
planes de recuperación
mejora continua
comunicaciones
niveles de implementación
parcial informado repetible adaptado
horizontal
proceso de gestión de riesgos
programa de gestión integrada de riesgos
participación externa
los perfiles
los perfiles son la alineación única de una organización de sus requisitos y objetivos y organizacionales la tolerancia el riesgo y los recursos con respecto a los resultados deseados del framework cote
controles de seguridad crítica cis
son 20 controles que se dividen en tres niveles
controles básicos
controles fundamentales controles organizacionales

nivel básico
incluye aspectos como inventario y control de activos de hardware y software gestión de vulnerabilidades uso de privilegios administrativos configuración de dispositivos de usuario final y servidores y mantenimiento monitoreo y logs auditoría.
nivel fundamental
protección de correo electrónico y navegación web medidas antivirus gestión de puertos de red protocolos y servicios recuperación de datos configuración de dispositivos de red seguridad física y de datos control de acceso basado en un nit to know control de acceso inalámbrico y monitoreo y control de cuentas
nivel organizacional
temas programas de concienciación y capacitación seguridad en desarrollo de software respuesta y gestión de incidentes y pen test y red team
diferencia entre n y s t y Cis
el primero es un marco general que busca implementar un entorno de gobierno de ciberseguridad y el segundo en seguridad crítica son complementarios residiendo en un nivel más técnico comparte etapas con csf pero busca acciones concretas enfocadas en la línea operativa tecnológica aportando con puntos tales como la configuración segura de positivos y servidores
ley 19,628
protección de la vida privada
ley 21,459
delitos informáticos
gdpr
general data protection regulation
normativa interna
políticas y procedimientos