Reconoce el valor de los datos como componente esencial de los negocios digitales

1

¿Qué es Seguridad de la Información y por qué hablamos de prevención de pérdida de datos?

2

Estudios de Casos: Riesgos materializados que han afectado a grandes empresas

3

Iniciación: Planeación y Compromiso Interno para adelantar un proceso de Gestión de Riesgos de Seguridad

4

¿Qué son los activos de Información? Cuál es su valor y cómo identificar los controles a implementar de acuerdo a su nivel de criticidad

5

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

6

Prevención de pérdida de datos, una visión estratégica y proactiva, no solo técnica y reactiva

Utiliza los conceptos básicos de gestión de riesgos de seguridad digital para prevenir la pérdida y/o filtración tus datos

7

Modelo de Gestión de Riesgos de Seguridad Digital y su relación con la Protección de Datos Personales

8

Diferenciación de la Visión Europea de protección de datos personales, a la visión Norteamericana

9

Roles, Responsabilidades, Recursos y Criterios para la Gestión de Riesgos de Seguridad Digital

10

Definición y tipologías de Riesgos y Gestión de incidentes de seguridad de la información

11

La prevención de pérdida de datos, como factor de crecimiento y cumplimiento regulatorio

12

Análisis Normativo GDPR y CCPA. Modelos de Gestión de Riesgos de Seguridad

Construye una política de prevención de pérdida de datos para tu organización

13

Identificación de información sensible dentro de los activos de información e infraestructuras cibernéticas críticas asociadas a su negocio

14

Realiza una evaluación de impacto de privacidad

15

Identificación y valoración de los riesgos inherentes y residuales asociados a su actividad

16

Técnicas de tratamiento de datos, minimización, anonimización, seudonimización, disociación y agregación de datos

17

Evaluación y retroalimentación de los controles asociados a tu actividad

18

Política de prevención de pérdida de datos

Qué hacer en caso de materialización del riesgo

19

¿Qué hacer en caso de materialización de un riesgo de seguridad o de pérdida o filtración de datos?

20

Cadena de custodia de evidencias digitales y contacto con autoridades

21

Lecciones aprendidas de la gestión de incidentes

22

Métodos para la recuperación de datos

23

Creación y restauración de copias de seguridad

24

Tipos de soluciones que se pueden implementar para prevenir la pérdida de datos

25

Conclusiones finales y cierre

Crea una cuenta o inicia sesión

¡Continúa aprendiendo sin ningún costo! Únete y comienza a potenciar tu carrera

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

5/25
Recursos

Se debe identificar:

  1. Tipos de Activos
  2. Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
  3. Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
  4. Riesgos inherentes a la seguridad digital

El riesgo puede ser de dos tipos:

  • Inherente: Es aquel propio del negocio
  • Residual: Es el que tú tienes la capacidad de soportar

Gestión de Riesgos de Seguridad:

  1. Valoración de los riesgos inherentes a la seguridad
  2. Valoración de la probabilidad de ocurrencia: Qué tan probable es que ese riesgos se materialice.
  3. Valoración del impacto: Qué tanto impacto puede tener que se materialice ese riesgo.
  4. Identificación de la Zona de Riesgo
  5. Definición de controles
    5.1 Definición de Controles específicos para prevenir la pérdida de datos
  6. Calificación y Evaluación de Controles
  7. Gestión y Tratamiento del Riesgo
  8. Seguimiento

Aportes 36

Preguntas 1

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

Identificar riesgos digitales:

  1. Tipo de Activos: Determinar esto nos permite saber el nivel de importancia del activo de información. Dependiendo si afecta a la disponibilidad, integridad o disponibilidad se califica como sensible o no sensible
    1. Sensible
    2. No sensible
  2. Amenazas: Factor externo que otra persona o entidad puede explotar para generarme un riesgo para perder datos.
  3. Vulnerabilidades: Factores internos que pueden exponerme para perder datos o activos de información.
    1. Riesgos inherentes a la seguridad digital: Puede ser de dos tipos
      1. Inherente: Problemas inherentes de cada negocio
      2. Residual: Lo que cada uno puede soportar
    2. Valoración de impacto: Que tanto impacto tendría la materialización de este riesgo.
    3. Valoración de la probabilidad de ocurrencia: Qué tan probable que este riesgo de seguridad se materialice
  4. Definición de controles
    1. Definición de controles específicos para prevenir pérdida de datos
      1. Controles en la recolección
      2. Controles en el flujo de la información
      3. Controles en el alojamiento y disposición
  5. Calificar y evaluar controles: Mantener un sistema de auditorías para poder mantener evaluando las formas de controlar los riesgos de perdida de datos
  6. Gestión y tratamiento del riesgo
  7. Seguimiento: Siempre debemos estar dando seguimiento a las formas de seguridad de los datos

Hola compañeros, les dejo un enlace donde podrán encontrar más información de la norma ISO 31000. Espero les sea útil.

https://www.isotools.org/pdfs-pro/ebook-iso-31000-gestion-riesgos-organizaciones.pdf

  • Una **vulnerabilidad **(en términos de informática) es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información. Es un factor interno.

  • Una **amenaza ** es toda acción que aprovecha la vulnerabilidad para atentar contra la seguridad de un sistema de información. Desde el punto de vista de una organización pueden ser tanto internas como externas

Esto basicamente es la implantacion de un SGSI (Sistema de Gestion de Seguridad de la Información) basado en la norma ISO27001 en la que se incluyen sus 114 controles, evidentemente esta explicacion es mucho mas practica y aplicable.

Excelente explicación para empezar a coger un poco de la perspectiva que debemos de tener para empezar a localizar posibles riesgos de seguridad en nuestras organizaciones o empresas.

  1. Identificar riesgos ISO 3101
    Tipo de activo Amenazas Vulnerabilidades Riesgo Probabilidad de ocurrencia Valoración de impacto Identificar zona de riesgo
    Sensible / No sensible Factor externo Factor interno Inherente (propio del negocio) / Residual (el que se puede evitar) Catastrófico - Intermedio - Insignificante

  2. Identificar controles
    DLP: Controles especificos para prevenir la perdida de datos

    • Recolección
    • Flujo de la información
    • Alojamiento y disposición

    Pasos:

    • Identificar controles
    • Clasificar y evaluar controles
    • Gestión y tratamiento del riesgo
  • Seguimiento

Riesgo residual: Es aquel riesgo que subsiste, después de haber implementado controles.

Mis Notas - Riesgos digitales


Se debe identificar:
1.- Tipos de Activos
2.- Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
3.- Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
4.- Riesgos inherentes a la seguridad digital


El riesgo puede ser de dos tipos:

  • Inherente: Es aquel propio del negocio.
  • Residual: Es el que tú tienes la capacidad de soportar.

Gestión de Riesgos de Seguridad:
1.- Valoración de los riesgos inherentes a la seguridad.
2.- Valoración de la probabilidad de ocurrencia: Qué tan probable es que ese riesgos se materialice.
3.- Valoración del impacto: Qué tanto impacto puede tener que se materialice ese riesgo.
4.- Identificación de la Zona de Riesgo.
5.- Definición de controles.
5.1.- Definición de Controles específicos para prevenir la pérdida de datos.
5.1.1.- Control en la recolección.
5.1.2.- Controles en el flujo de la información.
5.1.3.- Controles en el alojamiento y disposición.
6.- Calificación y Evaluación de Controles.
7.- Gestión y Tratamiento del Riesgo.
8.- Seguimiento.

En la fase de monitoreo implementar plan de Auditoria Interna o externa para garantizar que los controles que se estan llevando son los correcto.

Gracias! muy interesante curso.

va como rapido el curso

Gracias profesor, ya hice mi tabla para identificar activos con sus amenazas, vulnerabilidad probabilidad, impacto etc

¿Qué son los riesgos dígitales? ¿Cómo identificarlos y tratarlos?

Se debe identificar el tipo de activos, amenazas, vulnerabilidades, riesgos inherentes a la seguridad digital.

Para identificar el tipo de activos, se debe analizar si un activo tiene afectación que llega a causar afectación a la disponibilidad éste activo se vuelve un activo sensible.

Para identificar las amenazas se debe analizar que posibles afectaciones se pueden presentar a nivel externo.

Para identificar las amenazas se debe analizar que posibles afectaciones se pueden presentar a nivel interno.

El rango de improbable a catastròfico se encargará de decirnos que controles tomar, a qué medidas debemos recurrir y qué tanto nos va a afectar.

Importante saber identificar la diferencia entre Amenaza y Vulnerabilidad.

Amenaza: Normalmente se habla de amenaza cuando nos referimos a factores de riesgo externos, que nos pongan en una situación de riesgo.

Vulnerabilidad: Nos habla de factores internos. Falta de controles o de gestión adecuada que alguien podría eventualmente explotar.

A partir de estos dos factores se debe determinar el nivel de riesgo y estos se clasifican en Inherentes y Residuales.

Seguidamente valorar la probabilidad de ocurrencia y de impacto.

Definir la zona de riesgo, para saber gestionar el riesgo.

Por último definición de controles, que en otras palabras es si vamos a invertir en personal y equipo para gestionarlos nosotros o vamos a invertir en un tercero para gestionarlos en algún cloud.

Excelente clase

Muy claro la gestion de seguridad.

ISO 31001 en su modelo de gestion de riesgos de seguridad, es un ejemplo para identificar los riesgos. https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es

Podríamos decir que la estrategia y la planificación lo son todo. Me recuerda al libro de El arte de la guerra.

Debemos guiarnos por la norma ISO 31001

El norma ISO31001 con este norma puedes identificar los riesgo una forma para identificarlos

Amenaza es aquella que se puede explotar para ocasionar un riesgo.

Vulnerabilidad son los factores internos que es lo que yo tengo o no tengo y alguien puede explotar de mi informacion

El riesgo inerente es propio del negocio y el riesgos residual son los externos

Con los riesgo identificado podemos saber que impacto va a tener

Excelente!

ISO 31001 de modelo de gestión de riesgo es ideal para la identificación de riesgos.

Amenaza: lo que me puede atacar
Vulnerabilidad: lo que yo tengo que me puede afectar

Alguien me puede dar el link actualizado por favor, el publicado ya no esta disponible?
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

La identificación de los riesgos, permitirá implementar los controles adecuados.

La palabra “riesgo” hace referencia a la combinación de la probabilidad que tenga lugar un evento de negativas consecuencias en distinto grado.

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos
Se debe identificar:

  1. Tipos de Activos
  2. Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
  3. Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
  4. Riesgos inherentes a la seguridad digital
    El riesgo puede ser de dos tipos:
    • Inherente: Es aquel propio del negocio
    • Residual: Es el que tú tienes la capacidad de soportar
    Gestión de Riesgos de Seguridad
  5. Valoración de los riesgos inherentes a la seguridad
  6. Valoración de la probabilidad de ocurrencia
  7. Valoración del Impacto
  8. Identificación de la Zona de Riesgo
  9. Definición de Controles
    5.1. Definición de Controles específicos para prevenir la Pérdida de datos DLP
    5.1.1. Controles en la Recolección
    5.1.2. Controles en el flujo de la Información
    5.1.3. Controles en el alojamiento y disposición

Un cliente me pide, seguro anti hackeo de de información,
¿hay compañías aseguradoras que los dan?
¿son caros?
¿Es obligación que lo tenga?
¿la empresa que alquila el cloud es la que debería sacarlo?

Alguien me puede dar una mano con este tema, necesito asesoramiento.

Gracias

Un aporte 😄
Identificación de activos
.
.
.

Gestión de riesgos
.
.
.
.
.

La SI, la PPD es siempre un enfoque estratégico y también es mas que un cumplimiento legal, sin embrago al cliente le interesa la garantía que su información esta custodiándose de manera adecuada

como decía una frase en un conocido dibujo animado: “mirar más allá de lo evidente”.