Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 20 vistas

    Semana 03

    Cargado por

    JHON CHARLES MENDOZA PRADO
    Este documento presenta una introducción al tema de la seguridad de la información y la gestión de riesgos. Explica que la información es un activo crucial para las organizaciones que debe protegerse a lo largo de todo su ciclo de vida. Detalla las dimensiones clave de la seguridad de la información como la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Además, enfatiza que es necesario realizar un análisis de riesgos para identificar las amenazas y establecer controles que minimicen

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Semana 03

    Cargado por

    JHON CHARLES MENDOZA PRADO
    20 vistas29 páginas
    Este documento presenta una introducción al tema de la seguridad de la información y la gestión de riesgos. Explica que la información es un activo crucial para las organizaciones que debe protegerse a lo largo de todo su ciclo de vida. Detalla las dimensiones clave de la seguridad de la información como la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Además, enfatiza que es necesario realizar un análisis de riesgos para identificar las amenazas y establecer controles que minimicen

    Título original

    semana 03

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta una introducción al tema de la seguridad de la información y la gestión de riesgos. Explica que la información es un activo crucial para las organizaciones que debe protegerse a lo largo de todo su ciclo de vida. Detalla las dimensiones clave de la seguridad de la información como la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Además, enfatiza que es necesario realizar un análisis de riesgos para identificar las amenazas y establecer controles que minimicen

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    20 vistas29 páginas

    Semana 03

    Cargado por

    JHON CHARLES MENDOZA PRADO
    Este documento presenta una introducción al tema de la seguridad de la información y la gestión de riesgos. Explica que la información es un activo crucial para las organizaciones que debe protegerse a lo largo de todo su ciclo de vida. Detalla las dimensiones clave de la seguridad de la información como la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Además, enfatiza que es necesario realizar un análisis de riesgos para identificar las amenazas y establecer controles que minimicen

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 29

    CIBERSEGURIDAD

    Edem J. Terraza Huaman

    Análisis y Gestión de riesgos

    Universidad Nacional de San Cristóbal de Huamanga


    Índice semana 03

    ► Tema 1: Seguridad de la información y gestión de riesgos.


    ► Tema 2: UNE-ISO 31000:2018 Gestión del riesgo. directrices.
    ► Tema 3: Metodologías de análisis y gestión de riesgos.
    ► Tema 4: Técnicas y procedimientos.
    ► Tema 5: Herramientas de análisis y gestión de riesgos

    2
    Tema 1: Seguridad de la Information y gestión de riesgos

    ► 2.1 Introducción

    ► 2.2 Gobierno de la seguridad de la información

    ► 2.3 El estándar ISO 27001

    ► 2.4 Buenas prácticas de seguridad en la gestión de servicios de TI

    3
    Tema 1: Seguridad de la Information y gestión de riesgos

    4
    Tema 1: Seguridad de la Information y gestión de riesgos
    La información

    Es uno de los activos mas importantes con los que cuentan las organizaciones.

    Siempre ha estado amenazada.

    5
    Tema 1: Seguridad de la Information y gestión de riesgos

    La información

    ► Es inmaterial

    ► Reside en
    ❖ las personas,
    ❖ los documentos escritos
    ❖ los sistemas informáticos
    ❖ ….

    6
    Tema 1: Seguridad de la Information y gestión de riesgos

    Seguridad de la información
    ► Garantizar la seguridad de la información es uno de los objetivos
    prioritarios de cualquier organización

    ► El auge en la implantación de las Tecnologías de la Información y


    las Comunicaciones ha incrementado el número de amenazas y la
    probabilidad de materialización de las mismas

    7
    Tema 1: Seguridad de la Information y gestión de riesgos

    Seguridad de la información

    ► Es necesaria para que una organización pueda cumplir con sus objetivos de
    negocio.
    ► Forma parte de todos los procesos de negocio de una organización
    ► En necesario implantar controles para poder garantizar el nivel de seguridad
    apropiado.

    8
    Tema 1: Seguridad de la Information y gestión de riesgos

    Seguridad de la información
    ► El primer paso es responder a cuatro preguntas:
    ▪ ¿QUÉ?
    ▪ ¿DÓNDE?
    ▪ ¿CÓMO?
    ▪ ¿CUÁNDO?

    9
    Tema 1: Seguridad de la Information y gestión de riesgos

    Qué

    Garantizar
    ▪ El acceso
    ▪ La integridad
    ▪ La disponibilidad
    ▪ La autenticidad
    ▪ La confidencialidad
    ▪ La trazabilidad
    ▪ La conservación

    10
    Tema 1: Seguridad de la Information y gestión de riesgos

    Dimensiones de la seguridad

    Confidencialidad [C]
    Integridad [I]
    Disponibilidad [D]
    Autenticidad [A]
    Trazabilidad [T]

    11
    Tema 1: Seguridad de la Information y gestión de riesgos

    Aspectos

    El acceso a la información
    La conservación de la información

    12
    Tema 1: Seguridad de la Information y gestión de riesgos

    Confidencialidad

    Garantizar que la información no es conocida por personas, organizaciones o procesos que


    no disponen de la autorización necesaria.

    Integridad

    Garantizar que la información no se ha transformado ni modificado de forma no autorizada


    durante su procesamiento, transporte o almacenamiento
    Permitir detectar fácilmente las posibles modificaciones que pudieran haberse producido.

    13
    Tema 1: Seguridad de la Information y gestión de riesgos

    Disponibilidad

    Garantizar que la información es accesible en el momento en el que los usuarios autorizados


    (personas, organizaciones o procesos) tienen necesidad de acceder a ella.

    Autenticidad

    Garantizar la identidad del usuario que origina una información.


    Permitir conocer con certeza quién envía o genera una información específica.

    Trazabilidad

    Garantizar que en todo momento se podrá determinar quién hizo qué y en qué momento lo
    hizo.

    14
    Tema 1: Seguridad de la Information y gestión de riesgos

    Conservación de la información

    La información reside en los soportes


    Los soporte tienen una vida útil determinada
    La fase del ciclo de vida de la información determina el tipo de
    soporte que se utiliza
    Garantizar la seguridad de los soportes

    15
    Tema 1: Seguridad de la Information y gestión de riesgos

    Conservación de la información

    Formato
    El formato debe ser interpretable a pesar del paso del tiempo.
    Garantizar que la información será interpretable y conservará sus
    características a pesar de la obsolescencia de los formatos.

    16
    Tema 1: Seguridad de la Information y gestión de riesgos

    Acceso

    Por acceso, se entiende la capacidad de poder utilizar los recursos de los sistemas de
    información y comunicaciones que nos permiten acceder a la información

    17
    Tema 1: Seguridad de la Information y gestión de riesgos

    Donde?

    En los elementos en los que reside


    La información es almacenada, procesada y transmitida por los Sistemas de Información y
    Comunicaciones (SIC), por lo tanto para garantizar la seguridad en todas sus dimensiones y
    aspectos es necesario garantizar la seguridad de los Sistemas de Información y
    Comunicaciones de forma global.

    18
    Tema 1: Seguridad de la Information y gestión de riesgos

    Donde?

    Un Sistema de Información y Comunicaciones es un conjunto de elementos interrelacionados,


    personas, datos/información, procedimientos y recursos técnicos, dedicados al proceso y
    gestión de la información que una organización necesita para alcanzar sus objetivos de
    negocio.
    Hay que proteger todos y cada uno de los elementos que forman parte del Sistema de
    Información y Comunicaciones de la organización frente a las amenazas a las que se
    encuentran expuestos, teniendo en cuenta sus características y vulnerabilidades.

    19
    Tema 1: Seguridad de la Information y gestión de riesgos

    Cómo?

    Deben contrarrestarse todas las amenazas a las que está expuesta la información de una
    organización, por medio de la implantación de salvaguardas (controles)
    Minimizando la probabilidad de la materialización de una amenaza.
    Disminuyendo el impacto en la organización, si no se ha podido evitar la materialización de
    una amenaza.
    Estableciendo procedimientos que permitan un recuperación rápida
    de los daños sufridos y una vuelta a la operativa normal.
    Utilizando mecanismos que permitan modificar las salvaguardas de acuerdo con la experiencia
    adquirida en los incidentes anteriores.

    20
    Tema 1: Seguridad de la Information y gestión de riesgos

    Cuándo

    La información hay que protegerla durante todo su ciclo de vida


    • Captura
    • Almacenamiento
    • Proceso
    • Transmisión
    • Utilización
    • Destrucción.
    Desde el momento en el que el dato entra en el sistema, hasta el momento en que deja de ser
    útil y se procede a su destrucción.

    21
    Tema 1: Seguridad de la Information y gestión de riesgos

    Análisis y gestión de riesgos

    Para que una organización pueda garantizar de forma adecuada la seguridad de uno de sus
    principales activos, la información, es necesario que analice y gestione los riesgos a los que
    está expuesta.
    Debe conocer los riesgos

    22
    Tema 1: Seguridad de la Information y gestión de riesgos

    Análisis y gestión de riesgos

    Para que una organización pueda garantizar de forma adecuada la seguridad de uno de sus
    principales activos, la información, es necesario que analice y gestione los riesgos a los que
    está expuesta.
    Debe conocer los riesgos

    23
    Tema 1: Seguridad de la Information y gestión de riesgos

    Los riesgos

    24
    Tema 1: Seguridad de la Information y gestión de riesgos

    Los riesgos

    Ciber - Attacks

    Data fraud o theft

    25
    Tema 1: Seguridad de la Information y gestión de riesgos

    Los riesgos

    26
    Tema 1: Seguridad de la Information y gestión de riesgos

    Análisis y gestión de riesgos

    Por medio del análisis de riesgos, una organización obtiene el conocimiento de a lo que está
    expuesta, le permite identificar los riesgos que le podrían impedir lograr sus objetivos de
    negocio, determinando su magnitud e identificando las áreas que requieren medidas de
    salvaguarda o controles en función del riesgo detectado.

    27
    Tema 1: Seguridad de la Information y gestión de riesgos

    Análisis y gestión de riesgos

    El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean más
    objetivos, permitiendo a la organización gestionar sus riesgos, y tomar decisiones en base a
    los riesgos propios.
    Teniendo en cuenta que la mitigación total de los riesgos es imposible, la gestión de riesgos
    tiene como objetivo gestionar o tratar el riesgo hasta disminuir el riesgo residual a los niveles
    asumibles por la dirección.

    28
    Tema 1: Seguridad de la Information y gestión de riesgos

    La gestión de riesgos
    • Ser una parte integral de todos los procesos de negocio.

    • Crear y proteger el valor.

    • Formar parte de la toma de decisiones.

    • Tratar explícitamente la incertidumbre.

    • Ser sistemática, estructurada y oportuna.

    • Estar basada en la mejor información posible.

    • Ser adaptable.

    • Integrar factores humanos y culturales.

    • Ser transparente y participada por las partes interesadas de la organización.

    • Ser dinámica, iterativa y responder a los cambios.

    • Facilitar la mejora continua.

    29

    También podría gustarte