Identificación de Vulnerabilidades en Seguridad Informática

Mis Notas - Tipologías de Riesgos y Gestión de incidentes de seguridad

• Los riesgos de seguridad se deben identificar basados en:

• Vulnerabilidades
• Amenazas

• Afectar al activo de información.

Clases de riesgos

• Estratégico
• Imagen
• Operativo
• Financiero
• Cumplimiento
• Tecnología

Gestión de incidentes de seguridad de la información

• Identificación de riesgos.
• Valoración de riesgo.
• Definir los tipos de control .
• Definir como se gestionaran los incidentes de seguridad.
• Valorar el riesgo inherente.
• Identificar la probabilidad de ocurrencia y el impacto.
• Establecer los controles asociados por cada riesgo inherente.
• Determinar las acciones y actividades a ejecutar.
• Establecer su el control disminuye su nivel de riesgo.

El link de OWASP esta roto.
Este es en espanol: https://wiki.owasp.org/images/5/5e/OWASP-Top-10-2017-es.pdf
Ingles: https://owasp.org/www-project-top-ten/

Vulnerabilidad = debilidad que puede ser explotada y expone un tipo de riesgo
Amenaza = evento latente, potencial, que causará daños en la empresa si una vulnerabilidad está a su alcance para ser explotada. Conlleva un riesgo.
Riesgo: impacto probable de una amenaza, es expuesto en la vulnerabilidad como una consecuencia aprovechable para los atacantes. Puede ser de diversos tipos: económico, tecnológico, estratégico, imagen, operativo, cumplimiento.

Excelente, estoy elaborando el PETI de mi empresa y esta informacion resulta muy valiosa, Nunca tenemos que parar de aprende 😄 !!!

Con respecto al OWASP Top 10 2017, versión actual hasta nuevo aviso, creo que es importante anotar que para conseguir una comprensión significativa de este documento resulta necesario tener experiencia en el desarrollo de aplicaciones RESTFul, API’s, Javascript (particularmente Node.js) y Java. Aunque cualquier otro lenguaje de programación puede servir de contexto para comprender mejor este documento es imperativo señalar que el mismo está pensado como una lectura para aquellos con experiencia en el desarrollo de aplicaciones web profesionales. El documento ex extenso y rico pero puede tornarse pesado para aquellos con menos experiencia.

Gracias a Cristian Perez por conseguir el link a la ultima versión en español.

Riesgo es la probabilidad de sufrir daños o pérdidas, este puede ser humano o no.
Amenaza es un componente del riesgo provocado por una acción que puede ofrecer un resultado inesperado o no deseado.
Los impactos provocados por una determinada amenaza pueden provocar múltiples daños y en diferentes aspectos: pérdida de ingresos o clientes, pérdida de diferenciación de mercado, costos de respuesta y recuperación por el incidente y el costo de pagar multas, sanciones reguladoras, indemnizaciones, etc.

Sobre la Guía de seguridad informática del Mintic. Tiene un excelente glosario de términos que son importantísimos para cualquiera interesado en esta área del conocimiento. Desde mi punto de vista es altamente recomendado ya que esta excelente para profundizar los temas vistos en el curso.

Hola, tengo una duda: La definición de riesgo debería ser: “lo que le puede ocurrir, el daño que se puede causar si se explota una vulnerabilidad”, o me equivoco?

Porque indica esto: Por Amenaza entendemos … (ISO 270001:2018).?
La norma actual es ISO27001:2013

Completa la informacion.

muy util la informacion

Gracias ya tengo una idea para realizar la matriz.

Excelente

Sirven como referencia para modelo empresarial teórico

Yo diría que un riesgo se compone de:
Riesgo = Amenaza+ Vulnerabilidad + Consecuencia.

Orden de una Política de Protección de Datos Personales.

1. Identificar riesgos (Estratégicos, de Imagen, Operativo, Financiero, Cumplimiento, Tecnología) mediante lluvia de ideas, análisis de escenarios, contexto histórico, entrevistas, noticias, encuestas, listas de chequeo, etc.
2. Valoración de riesgo de todos los activos de información. (Inherentes al negocio y residuales)
   1. Calcular basado en los riesgos Inherentes:
      1. Probabilidad de ocurrencia (basado en antecedentes de casos por año).
      2. Impacto asociado a Confidencialidad, Integridad y Disponibilidad.
3. Definición de tipos de control y la gestión y mitigación de incidentes.
   1. Qué acciones y actividades ejecutar.
   2. Características del control: ¿Disminuye el riesgo o lo desplaza en el mapa de calor?

¿Buscas ayuda o inspiración? Entra a:

Guía seguridad informática MINTIC

CCN - CERT

Respecto de las metodologías que se pueden implementar para hacer una adecuada gestión de incidentes de seguridad ver:

Guía Seguridad Informática Mintic,

1.CCN - CERT

2.OWASP

interesante

Un breve y detallado resúmen del módulo

Riesgos: Basados en las vulnerabilidades y amenazas
- Vulnerabilidad: Debilidades, condiciones o factores que cuya explotación puede implicar una amenaza
- Amenaza: Causa potencial de un incidente no deseado, lo cual puede provocar un daño a un sistema / organización
○ Materialización de un riesgo (ISO270001)
- Riesgo: Lo que le puede ocurrir, el daño que se puede causar si se explota una amenaza

Se requiere de una amenaza para explotar una vulnerabilidad

El enlace al documento de OWASP no está disponible.

La identificación de riesgos es crucial para establecer nuestras políticas de prevención de perdida de datos

El mageritt e muy buena base para conocer el analisis de riesgo

Excelente información y complementación del tema.

Buena explicación y los link adjuntos complementan muy bien la información.

La OWASP es muy útil y se utiliza mucho en las empresas como referente!
Excelente

Muy buenas guías se agradecen en verdad

Gran contenido

Muchas gracias por compartir esta información instructor Juan

Gran documentación.

Muy interesante la documentación relacionada.

de gran utilidad

Está muy bueno este recurso.