Reconoce el valor de los datos como componente esencial de los negocios digitales

1

¿Qué es Seguridad de la Información y por qué hablamos de prevención de pérdida de datos?

2

Estudios de Casos: Riesgos materializados que han afectado a grandes empresas

3

Iniciación: Planeación y Compromiso Interno para adelantar un proceso de Gestión de Riesgos de Seguridad

4

¿Qué son los activos de Información? Cuál es su valor y cómo identificar los controles a implementar de acuerdo a su nivel de criticidad

5

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

6

Prevención de pérdida de datos, una visión estratégica y proactiva, no solo técnica y reactiva

Utiliza los conceptos básicos de gestión de riesgos de seguridad digital para prevenir la pérdida y/o filtración tus datos

7

Modelo de Gestión de Riesgos de Seguridad Digital y su relación con la Protección de Datos Personales

8

Diferenciación de la Visión Europea de protección de datos personales, a la visión Norteamericana

9

Roles, Responsabilidades, Recursos y Criterios para la Gestión de Riesgos de Seguridad Digital

10

Definición y tipologías de Riesgos y Gestión de incidentes de seguridad de la información

11

La prevención de pérdida de datos, como factor de crecimiento y cumplimiento regulatorio

12

Análisis Normativo GDPR y CCPA. Modelos de Gestión de Riesgos de Seguridad

Construye una política de prevención de pérdida de datos para tu organización

13

Identificación de información sensible dentro de los activos de información e infraestructuras cibernéticas críticas asociadas a su negocio

14

Realiza una evaluación de impacto de privacidad

15

Identificación y valoración de los riesgos inherentes y residuales asociados a su actividad

16

Técnicas de tratamiento de datos, minimización, anonimización, seudonimización, disociación y agregación de datos

17

Evaluación y retroalimentación de los controles asociados a tu actividad

18

Política de prevención de pérdida de datos

Qué hacer en caso de materialización del riesgo

19

¿Qué hacer en caso de materialización de un riesgo de seguridad o de pérdida o filtración de datos?

20

Cadena de custodia de evidencias digitales y contacto con autoridades

21

Lecciones aprendidas de la gestión de incidentes

22

Métodos para la recuperación de datos

23

Creación y restauración de copias de seguridad

24

Tipos de soluciones que se pueden implementar para prevenir la pérdida de datos

25

Conclusiones finales y cierre

Crea una cuenta o inicia sesión

¡Continúa aprendiendo sin ningún costo! Únete y comienza a potenciar tu carrera

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

5/25
Recursos

Se debe identificar:

  1. Tipos de Activos
  2. Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
  3. Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
  4. Riesgos inherentes a la seguridad digital

El riesgo puede ser de dos tipos:

  • Inherente: Es aquel propio del negocio
  • Residual: Es el que tú tienes la capacidad de soportar

Gestión de Riesgos de Seguridad:

  1. Valoración de los riesgos inherentes a la seguridad
  2. Valoración de la probabilidad de ocurrencia: Qué tan probable es que ese riesgos se materialice.
  3. Valoración del impacto: Qué tanto impacto puede tener que se materialice ese riesgo.
  4. Identificación de la Zona de Riesgo
  5. Definición de controles
    5.1 Definición de Controles específicos para prevenir la pérdida de datos
  6. Calificación y Evaluación de Controles
  7. Gestión y Tratamiento del Riesgo
  8. Seguimiento

Aportes 41

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

Identificar riesgos digitales:

  1. Tipo de Activos: Determinar esto nos permite saber el nivel de importancia del activo de información. Dependiendo si afecta a la disponibilidad, integridad o disponibilidad se califica como sensible o no sensible
    1. Sensible
    2. No sensible
  2. Amenazas: Factor externo que otra persona o entidad puede explotar para generarme un riesgo para perder datos.
  3. Vulnerabilidades: Factores internos que pueden exponerme para perder datos o activos de información.
    1. Riesgos inherentes a la seguridad digital: Puede ser de dos tipos
      1. Inherente: Problemas inherentes de cada negocio
      2. Residual: Lo que cada uno puede soportar
    2. Valoración de impacto: Que tanto impacto tendría la materialización de este riesgo.
    3. Valoración de la probabilidad de ocurrencia: Qué tan probable que este riesgo de seguridad se materialice
  4. Definición de controles
    1. Definición de controles específicos para prevenir pérdida de datos
      1. Controles en la recolección
      2. Controles en el flujo de la información
      3. Controles en el alojamiento y disposición
  5. Calificar y evaluar controles: Mantener un sistema de auditorías para poder mantener evaluando las formas de controlar los riesgos de perdida de datos
  6. Gestión y tratamiento del riesgo
  7. Seguimiento: Siempre debemos estar dando seguimiento a las formas de seguridad de los datos

Hola compañeros, les dejo un enlace donde podrán encontrar más información de la norma ISO 31000. Espero les sea útil.

https://www.isotools.org/pdfs-pro/ebook-iso-31000-gestion-riesgos-organizaciones.pdf

Esto basicamente es la implantacion de un SGSI (Sistema de Gestion de Seguridad de la Información) basado en la norma ISO27001 en la que se incluyen sus 114 controles, evidentemente esta explicacion es mucho mas practica y aplicable.

  • Una **vulnerabilidad **(en términos de informática) es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información. Es un factor interno.

  • Una **amenaza ** es toda acción que aprovecha la vulnerabilidad para atentar contra la seguridad de un sistema de información. Desde el punto de vista de una organización pueden ser tanto internas como externas

Riesgo residual: Es aquel riesgo que subsiste, después de haber implementado controles.

  1. Identificar riesgos ISO 3101
    Tipo de activo Amenazas Vulnerabilidades Riesgo Probabilidad de ocurrencia Valoración de impacto Identificar zona de riesgo
    Sensible / No sensible Factor externo Factor interno Inherente (propio del negocio) / Residual (el que se puede evitar) Catastrófico - Intermedio - Insignificante

  2. Identificar controles
    DLP: Controles especificos para prevenir la perdida de datos

    • Recolección
    • Flujo de la información
    • Alojamiento y disposición

    Pasos:

    • Identificar controles
    • Clasificar y evaluar controles
    • Gestión y tratamiento del riesgo
  • Seguimiento

Excelente explicación para empezar a coger un poco de la perspectiva que debemos de tener para empezar a localizar posibles riesgos de seguridad en nuestras organizaciones o empresas.

Mis Notas - Riesgos digitales


Se debe identificar:
1.- Tipos de Activos
2.- Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
3.- Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
4.- Riesgos inherentes a la seguridad digital


El riesgo puede ser de dos tipos:

  • Inherente: Es aquel propio del negocio.
  • Residual: Es el que tú tienes la capacidad de soportar.

Gestión de Riesgos de Seguridad:
1.- Valoración de los riesgos inherentes a la seguridad.
2.- Valoración de la probabilidad de ocurrencia: Qué tan probable es que ese riesgos se materialice.
3.- Valoración del impacto: Qué tanto impacto puede tener que se materialice ese riesgo.
4.- Identificación de la Zona de Riesgo.
5.- Definición de controles.
5.1.- Definición de Controles específicos para prevenir la pérdida de datos.
5.1.1.- Control en la recolección.
5.1.2.- Controles en el flujo de la información.
5.1.3.- Controles en el alojamiento y disposición.
6.- Calificación y Evaluación de Controles.
7.- Gestión y Tratamiento del Riesgo.
8.- Seguimiento.

Un aporte 😄
Identificación de activos
.
.
.

Gestión de riesgos
.
.
.
.
.

Gestión de riesgos de seguridad

  1. Valoración de los riesgos inherentes a la seguridad.
  2. Valoración de la probabilidad de ocurrencia. → ¿Qué tan probable es que este riesgo se materialice?
  3. Valoración del impacto. → ¿Qué tanto impacto es soportable para tu compañía? Catastrófico, intermedio, poco probable o improbable.
  4. Identificación de la zona de riesgo. → Establecer qué riesgos debo controlar y mitigar para prevenir su aparición o, en caso de materializarse un ataque, que me permita la continuidad de mi negocio.
  5. Definición de controles
    1. Definición de controles específicos para la DLP:
      1. Controles de recolección.
      2. Controles en el flujo de la información.
      3. Controles en el alojamiento y disposición.
  6. Calificar y evaluación de controles. → ¿Están funcionando los controles y cómo? - Plan de auditorías externas e internas.
  7. Gestión y tratamiento de riesgo. → Si hay oportunidades de mejora o acciones correctivas debes entonces desarrollar e implementar las medidas para corregir y robustecer los sistemas de seguridad.
  8. Seguimiento. → Este proceso nunca termina, así que siempre se requiere de la iteración, la constante revisión, evaluación y toma de acciones.

![](

El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema; es decir, en todo trabajo o proceso se encontrarán riesgos para las personas o para la ejecución de la actividad en sí misma.
Algunos ejemplos:
Transporte: Choques, colisiones, volcamiento
Metal-mecánica: Quemaduras, golpes
Minería: Derrumbes, explosiones, caídas, atrapamiento, asfixia

El riesgo residual (dejar como http para acceder al PDF) es el nivel de riesgo existente después de la implantación de medidas de seguridad, es decir, que a pesar de tener información del riesgo, conocer sus peligros y tomar medidas de seguridad para ello, aún existe la exposición a dicho riesgo o peligro el cual se deberá asumir y obviamente vigilar. Otra definición que se puede encontrar según la NTC 5254 es el “nivel resultante de riesgo después de que se han tomado medidas de tratamiento de riesgo”. Según la ISO 2001 Clausula 4.2.1.h / I:”Obtener la aprobación de la dirección de la organización para el riesgo residual propuesto y para implementar y mantener el SGSI” Según ello, la dirección de una organización deberá aceptar el riesgo residual y deberá ser tenido en cuanta si llegase a existir un incidente de seguridad.

Los riesgos no son calculables matemáticamente debido a que es el resultado de algo que no se objetivar.

Debemos guiarnos por la norma ISO 31001

En la fase de monitoreo implementar plan de Auditoria Interna o externa para garantizar que los controles que se estan llevando son los correcto.

Gracias! muy interesante curso.

va como rapido el curso

Gracias profesor, ya hice mi tabla para identificar activos con sus amenazas, vulnerabilidad probabilidad, impacto etc

¿Qué son los riesgos dígitales? ¿Cómo identificarlos y tratarlos?

Se debe identificar el tipo de activos, amenazas, vulnerabilidades, riesgos inherentes a la seguridad digital.

Para identificar el tipo de activos, se debe analizar si un activo tiene afectación que llega a causar afectación a la disponibilidad éste activo se vuelve un activo sensible.

Para identificar las amenazas se debe analizar que posibles afectaciones se pueden presentar a nivel externo.

Para identificar las amenazas se debe analizar que posibles afectaciones se pueden presentar a nivel interno.

El rango de improbable a catastròfico se encargará de decirnos que controles tomar, a qué medidas debemos recurrir y qué tanto nos va a afectar.

Importante saber identificar la diferencia entre Amenaza y Vulnerabilidad.

Amenaza: Normalmente se habla de amenaza cuando nos referimos a factores de riesgo externos, que nos pongan en una situación de riesgo.

Vulnerabilidad: Nos habla de factores internos. Falta de controles o de gestión adecuada que alguien podría eventualmente explotar.

A partir de estos dos factores se debe determinar el nivel de riesgo y estos se clasifican en Inherentes y Residuales.

Seguidamente valorar la probabilidad de ocurrencia y de impacto.

Definir la zona de riesgo, para saber gestionar el riesgo.

Por último definición de controles, que en otras palabras es si vamos a invertir en personal y equipo para gestionarlos nosotros o vamos a invertir en un tercero para gestionarlos en algún cloud.

Excelente clase

Muy claro la gestion de seguridad.

ISO 31001 en su modelo de gestion de riesgos de seguridad, es un ejemplo para identificar los riesgos. https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es

Identificación de Riesgos de Seguridad
Se debe identificar:

  1. Tipo de Activos
    a. Analizar si es sensible para la organización
    b. Puede generar riesgo o amenaza para la información

  2. Amenazas
    a. Tiene diferentes métodos y normas
    b. Amenaza es factor externo que un tercero puede explotar para perder datos

  3. Vulnerabilidades
    a. Vulnerabilidad es un factor interno de lo que no estoy gestionando o controlando

  4. Riesgos inherenteas a la seguridad digital
    a. Riesgo inherentes, son los propios del negocio
    b. Riesgo residual, es el que puedes soportar

Gestión de Riesgos de Seguridad

  1. Valoración de los riesgos inherentes a la seguridad

  2. Valoración de la probabilidad de ocurrencia

  3. Valoración del impacto
    a. Catastrófico
    b. Poco probable

  4. Identificación de la Zona de Riesgo

  5. Definición de controles
    a. Definición de Controles específicos para prevenir la Pérdida de datos DLP
    ⅰ. Controles en la Recolección
    ⅱ. Controles en el flujo de la información
    ⅲ. Controles en el alojamiento y disposición

  6. Calificación y evaluación de controles

  7. Gestión y tratamiento del Riesgo

  8. Seguimiento

La prevención de perdidas de datos, al igual que la seguridad de la información son enfoques estratégicos que garantizan la custodia de forma adecuada de la información.

Hasta este punto, del curso, No se si mas adelante lo halla. Seria de gran utilidad un caso de estudio con esta matriz diligenciada

Se debe identificar:

Tipos de Activos
1,Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
2.Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
Riesgos inherentes a la seguridad digital
El riesgo puede ser de dos tipos:

Inherente: Es aquel propio del negocio
Residual: Es el que tú tienes la capacidad de soportar
Gestión de Riesgos de Seguridad:

Valoración de los riesgos inherentes a la seguridad
Valoración de la probabilidad de ocurrencia: Qué tan probable es que ese riesgos se materialice.
Valoración del impacto: Qué tanto impacto puede tener que se materialice ese riesgo.
Identificación de la Zona de Riesgo
Definición de controles
5.1 Definición de Controles específicos para prevenir la pérdida de datos
Calificación y Evaluación de Controles
Gestión y Tratamiento del Riesgo
Seguimiento

Podríamos decir que la estrategia y la planificación lo son todo. Me recuerda al libro de El arte de la guerra.

El norma ISO31001 con este norma puedes identificar los riesgo una forma para identificarlos

Amenaza es aquella que se puede explotar para ocasionar un riesgo.

Vulnerabilidad son los factores internos que es lo que yo tengo o no tengo y alguien puede explotar de mi informacion

El riesgo inerente es propio del negocio y el riesgos residual son los externos

Con los riesgo identificado podemos saber que impacto va a tener

Excelente!

ISO 31001 de modelo de gestión de riesgo es ideal para la identificación de riesgos.

Amenaza: lo que me puede atacar
Vulnerabilidad: lo que yo tengo que me puede afectar

Alguien me puede dar el link actualizado por favor, el publicado ya no esta disponible?
https://www.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf

La identificación de los riesgos, permitirá implementar los controles adecuados.

La palabra “riesgo” hace referencia a la combinación de la probabilidad que tenga lugar un evento de negativas consecuencias en distinto grado.

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos
Se debe identificar:

  1. Tipos de Activos
  2. Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
  3. Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
  4. Riesgos inherentes a la seguridad digital
    El riesgo puede ser de dos tipos:
    • Inherente: Es aquel propio del negocio
    • Residual: Es el que tú tienes la capacidad de soportar
    Gestión de Riesgos de Seguridad
  5. Valoración de los riesgos inherentes a la seguridad
  6. Valoración de la probabilidad de ocurrencia
  7. Valoración del Impacto
  8. Identificación de la Zona de Riesgo
  9. Definición de Controles
    5.1. Definición de Controles específicos para prevenir la Pérdida de datos DLP
    5.1.1. Controles en la Recolección
    5.1.2. Controles en el flujo de la Información
    5.1.3. Controles en el alojamiento y disposición

Un cliente me pide, seguro anti hackeo de de información,
¿hay compañías aseguradoras que los dan?
¿son caros?
¿Es obligación que lo tenga?
¿la empresa que alquila el cloud es la que debería sacarlo?

Alguien me puede dar una mano con este tema, necesito asesoramiento.

Gracias

La SI, la PPD es siempre un enfoque estratégico y también es mas que un cumplimiento legal, sin embrago al cliente le interesa la garantía que su información esta custodiándose de manera adecuada

como decía una frase en un conocido dibujo animado: “mirar más allá de lo evidente”.