No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Entiende tus riesgos

6/37
Recursos

Aportes 22

Preguntas 1

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

Entiende tus riesgos

Para conocer los riesgos de una organizaci贸n, se debe realizar un an谩lisis de brecha (Gap Analysis), el cual consiste en analizar todos los procesos internos, haciendo foco en la ciberseguridad, determinando si la informaci贸n que fluye es sensible e identificando los puntos d茅biles para aplicar controles.

Para llevar a cabo el an谩lisis de brecha, se debe tener en cuenta las siguientes preguntas:

  • Amenazas: 驴Se conoce realmente las amenazas que existen?, 驴existen dispositivos vulnerables?, 驴qui茅n puede querer atacar?
  • Alcance: 驴Que activos de informaci贸n se debe proteger? (por ejemplo: bases de datos, servicios en la nube, recursos humanos)
  • Transferencia del riesgo: 驴Es posible apoyarse en servicios de terceros? (por ejemplo, si se contrat贸 almacenamiento en la nube, el proveedor puede colaborar con los controles)
  • Apoyo: 驴Se tiene el respaldo para implementar los controles de seguridad? (econ贸mico, recursos humanos, aliados)

Existen frameworks de seguridad que ayudar a fortalecer la seguridad de las organizaciones. Un ejemplo es el framework NIST.

NIST SP 800-30: desarrollada por el National Institute of Standards and Technology. recomendaciones y tareas para la adecuada gesti贸n de riesgos de la seguridad de la informaci贸n, involucra a toda la organizaci贸n para el cumplimiento de tales objetivos. Est谩 desagregada en nueve pasos:
a) caracterizaci贸n del sistema;
b) identificaci贸n de la amenaza;
c) identificaci贸n de las vulnerabilidades;
d) control del an谩lisis;
e) determinaci贸n del riesgo;
f) an谩lisis del impacto;
g) determinaci贸n del riesgo; y
h) recomendaciones del control.

Entiende tus riesgos:
驴Conocemos realmente los riesgos que hay? Toda organizaci贸n deber铆a realizar un an谩lisis de brechas en todos los procesos en t茅rminos de la ciberseguridad, es decir, analizando el flujo de infomaci贸n. Debemos preguntarnos:

  • Amenazas: 驴Tengo claras las ciber-amenazas que podr铆an afectar la informaci贸n de la empresa? (comunicaci贸n con artefactos IOT, tipos de ciber ataques, ciberdelincuentes potenciales鈥)
  • Alcance: 驴Que activos de informaci贸n debo proteger de Ciberataques? (Servidores, bases de datos, cloud, recursos humanos鈥)
  • Transferencia del riesgo: 驴Podr铆a buscar apoyo en el tratamiento de riesgos identificados? (Proveedores de servicios que deban compartir la responsabilidad)
  • Apoyo: 驴Cuento con el respaldo para implementar Ciber-Controles? (Apoyo economico, recurso humano, aliados que me ayuden a reforzar estos controles)

En el Framework de ciberseguridad NIST, en su fase de identificar los riesgos, de evaluarlos y tratarlos. En esta etapa debemos realizar una comprension de la organizaci贸n con sus manejos y sistemas de informaci贸n.

Normalmente analizamos nuestra arquitectura y los diferentes sistemas que la componen, pero el hueco de seguridad puede no estar ah铆, tambien debemos exigirle a los proveedores o terceros con los que tengamos realaci贸n que deben cumplir con ciertos controles de seguridad.

Nuestra comunicaci贸n con ellos debe ser segura para evitar que intercepten las comunicaciones o que por medio de sus sistemas ingresen a los de nosotros.

Nada mejor que una descripci贸n gr谩fica

El framework NIST no es un software, sino un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras cr铆ticas

Framework NIST

**Aporte sobre An谩lisis GAP** El an谩lisis GAP en ciberseguridad es una evaluaci贸n que se realiza para identificar las brechas o discrepancias entre el estado actual de la seguridad inform谩tica y el estado deseado o requerido seg煤n est谩ndares o mejores pr谩cticas. Para comenzar a realizar este tipo de an谩lisis, como **persona interesada en fortalecer la ciberseguridad**, te recomiendo seguir estos pasos: 1. **Comprensi贸n del contexto**: Entender el entorno en el que se desarrolla la actividad. Esto implica conocer los activos cr铆ticos, las amenazas potenciales y las regulaciones aplicables. 2. **Recopilaci贸n de informaci贸n**: Obtener informaci贸n detallada sobre la infraestructura tecnol贸gica, pol铆ticas de seguridad existentes, procedimientos y controles implementados. 3. **Identificaci贸n de est谩ndares de seguridad**: Investigar y familiarizarse con los est谩ndares de seguridad relevantes para tu industria o 谩rea de inter茅s, como ISO 27001, NIST, CIS Controls, entre otros. 4. **Evaluaci贸n de brechas**: Comparar el estado actual de la seguridad con los requisitos y buenas pr谩cticas establecidos en los est谩ndares seleccionados. Identificar las brechas de seguridad y documentarlas adecuadamente. 5. **Priorizaci贸n de acciones correctivas**: Clasificar las brechas identificadas seg煤n su criticidad y riesgo. Establecer un plan de acci贸n para abordar primero aquellas brechas que representen mayores riesgos para la seguridad. 6. **Implementaci贸n de medidas correctivas**: Ejecutar las acciones correctivas necesarias para cerrar las brechas de seguridad identificadas. Esto puede incluir la actualizaci贸n de pol铆ticas, la mejora de controles t茅cnicos, la capacitaci贸n del personal, entre otras medidas. 7. **Monitoreo y revisi贸n continua**: Establecer un proceso de monitoreo continuo para asegurarse de que las medidas correctivas implementadas sean efectivas y se mantengan alineadas con los est谩ndares de seguridad establecidos. Realizar revisiones peri贸dicas del an谩lisis GAP para mantener la seguridad actualizada.
**NIST:** NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY - US DEPARTMENT OF COMMERCE <https://www.nist.gov/cyberframework>

Cuando nos encontramos con organizaci贸n que est谩n iniciando en el mundo de la ciberseguridad. Es primordial realizar una auditor铆a que permita entender el panorama completo de los procesos de negocios de la organizaci贸n. El Framework NIST CSF V1.1 es el m谩s recomendado, ya que eval煤a el nivel actual de una organizaci贸n ante incidentes cibern茅ticos y te permite definir un plan a futuro aumentado el nivel de madurez.

Toda Organizaci贸n debe realizar un GAP An谩lisis (An谩lisis de brecha) a sus procesos en t茅rminos de ciberseguridad.

A que se le realiza el an谩lisis:

  • Procesos internos como nominas
  • registros y control
  • transacciones bancarias

Para iniciar esta evaluaci贸n hay cuatro preguntas importantes:

  • Amenazas: 驴Tenemos claras las ciber-amenazas que nos podr铆an afectar?
  • Alcance: 驴Qu茅 activos de informaci贸n debo proteger de ciberataques?
  • Transferencia del riesgo: 驴Podr铆a buscar apoyo en el tratamiento de riesgos identificados? Es decir, el proveedor de servicios en la nube por ejemplo, puede brindarnos apoyo para mitigar estos riesgos? o apuntar a las necesidades de mi negocio.
  • Apoyo: 驴Cuento con el respaldo para implementar ciber-controles? Esto es gerencial y procedimental. Es revisar si tenemos el presupuesto o el recurso humano para mitigar los riesgos.

Framework de seguridad NIST

Este tiene una secci贸n de Evaluaci贸n de riesgos:

  1. Identificar: Desarrollamos una comprensi贸n organizacional para la gesti贸n del riesgo.

Riesgos:
Toda organizaci贸n debe realizar un GAP (An谩lisis de brecha), a los procesos en t茅rminos de ciberseguridad.

Autoevaluaci贸n:

  • Amenazas: tener claras la ciber-amenazas que pueden afectar la informaci贸n de la empresa.

  • Alcance: que activos se deben proteger de los ciberataques (servidores, bases de datos, recursos humanos).

  • Transferencia del riesgo: si se centrara un servicio, revisar si el proveedor puede apoyar con los ciber-controles (responsabilidad compartida).

  • Apoyo: Respaldo para implementar ciber-controles.

Una de las herramientas para fortalecer la ciberseguridad en las empresas es el Framework de ciberseguridad NIST https://www.nist.gov/cyberframework.

Para gestionar los riesgos de ciberseguridad, es importante que la organizaci贸n realice un an谩lisis de riesgos y autoevaluaci贸n para comprender las amenazas y el alcance de los activos de informaci贸n que deben protegerse. Tambi茅n se debe considerar la transferencia del riesgo y contar con apoyo para implementar controles de ciberseguridad. El uso del NIST Cybersecurity Framework puede ser 煤til en este proceso para desarrollar una comprensi贸n organizacional de la gesti贸n del riesgo de ciberseguridad de sistemas, activos, datos y capacidades.

los dispositivos IOT ya que pueden ser facilmente introducidos a la empresa y los ciberdelincuentes tengan un punto de acceso por donde entrar.

Buenas tardes. 驴Dos procesos de Informaci贸n que est谩n involucrados y descubrir los riegos m谩s relevantes?
Rta: Procesamiento de informaci贸n en las bases de Datos y acceso a los sistemas IOT. Algunos de los riesgos son ciberataques por falta de seguimiento, control e implementaci贸n de recursos en Seguridad Inform谩tica.

Entiende tus riesgos
Para conocer los riesgos de una organizaci贸n, se debe realizar un an谩lisis de brecha (Gap Analysis), el cual consiste en analizar todos los procesos internos, haciendo foco en la ciberseguridad, determinando si la informaci贸n que fluye es sensible e identificando los puntos d茅biles para aplicar controles.

Para llevar a cabo el an谩lisis de brecha, se debe tener en cuenta las siguientes preguntas:

Amenazas: 驴Se conoce realmente las amenazas que existen?, 驴existen dispositivos vulnerables?, 驴qui茅n puede querer atacar?
Alcance: 驴Que activos de informaci贸n se debe proteger? (por ejemplo: bases de datos, servicios en la nube, recursos humanos)
Transferencia del riesgo: 驴Es posible apoyarse en servicios de terceros? (por ejemplo, si se contrat贸 almacenamiento en la nube, el proveedor puede colaborar con los controles)
Apoyo: 驴Se tiene el respaldo para implementar los controles de seguridad? (econ贸mico, recursos humanos, aliados)

Mapear los riesgos a los que se enfrenta para evaluar los planes de acci贸n que se tomar谩 para resguardar la informaci贸n.

  • Entiende tus riesgos

    • Toda organizaci贸n deber tener un an谩lisis de sus procesos
      • An谩lisis de Brecha (Gap Analysis): Consiste en analizar los procesos internos haciendo foco en la ciberseguridad.
    • Autoevaluaci贸n:

      • Amenazas: Tener claras las ciber amenazas que podr铆an afectar la informaci贸n de mi empresa.
      • Alcance: Qu茅 activos debo proteger y cu谩l ser铆a el impacto de llegar a ser vulnerado.
      • Transferencia del riesgo: Identificar si tengo apoyo en el tratamiento de dichos riesgos.
      • Apoyo: Identificar si cuento con respaldo para implementar controles. (Recursos, Aliados, Presupuesto)
    • Frameworks de seguridad

El framework de NIST es un marco de trabajo que consiste en est谩ndares, gu铆as y pr谩cticas para manejar riesgos de ciberseguridad.
Su n煤cleo consiste elaborar planes para:
Identificar los riesgos que puede tener la informaci贸n
Proteger los activos e informaci贸n cr铆tica de la empresa
Detectar alguna vulnerabilidad o brecha de informaci贸n
Responder a alg煤n ataque o brecha de informaci贸n
Recuperar el sistema lo mas pronto posible de ese ataque y fortalecerlo a煤n m谩s

Odio bastante el volumen de voz del profesor Diego, el sonido de una copiadora en la misma habitaci贸n basta para no escuchar absolutamente nada de su voz.

Excelente