No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

No se trata de lo que quieres comprar, sino de quién quieres ser. Invierte en tu educación con el precio especial

Antes: $249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

12 Días
13 Hrs
31 Min
40 Seg

Entiende tus riesgos

6/37
Recursos

Aportes 23

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Entiende tus riesgos

Para conocer los riesgos de una organización, se debe realizar un análisis de brecha (Gap Analysis), el cual consiste en analizar todos los procesos internos, haciendo foco en la ciberseguridad, determinando si la información que fluye es sensible e identificando los puntos débiles para aplicar controles.

Para llevar a cabo el análisis de brecha, se debe tener en cuenta las siguientes preguntas:

  • Amenazas: ¿Se conoce realmente las amenazas que existen?, ¿existen dispositivos vulnerables?, ¿quién puede querer atacar?
  • Alcance: ¿Que activos de información se debe proteger? (por ejemplo: bases de datos, servicios en la nube, recursos humanos)
  • Transferencia del riesgo: ¿Es posible apoyarse en servicios de terceros? (por ejemplo, si se contrató almacenamiento en la nube, el proveedor puede colaborar con los controles)
  • Apoyo: ¿Se tiene el respaldo para implementar los controles de seguridad? (económico, recursos humanos, aliados)

Existen frameworks de seguridad que ayudar a fortalecer la seguridad de las organizaciones. Un ejemplo es el framework NIST.

NIST SP 800-30: desarrollada por el National Institute of Standards and Technology. recomendaciones y tareas para la adecuada gestión de riesgos de la seguridad de la información, involucra a toda la organización para el cumplimiento de tales objetivos. Está desagregada en nueve pasos:
a) caracterización del sistema;
b) identificación de la amenaza;
c) identificación de las vulnerabilidades;
d) control del análisis;
e) determinación del riesgo;
f) análisis del impacto;
g) determinación del riesgo; y
h) recomendaciones del control.

Entiende tus riesgos:
¿Conocemos realmente los riesgos que hay? Toda organización debería realizar un análisis de brechas en todos los procesos en términos de la ciberseguridad, es decir, analizando el flujo de infomación. Debemos preguntarnos:

  • Amenazas: ¿Tengo claras las ciber-amenazas que podrían afectar la información de la empresa? (comunicación con artefactos IOT, tipos de ciber ataques, ciberdelincuentes potenciales…)
  • Alcance: ¿Que activos de información debo proteger de Ciberataques? (Servidores, bases de datos, cloud, recursos humanos…)
  • Transferencia del riesgo: ¿Podría buscar apoyo en el tratamiento de riesgos identificados? (Proveedores de servicios que deban compartir la responsabilidad)
  • Apoyo: ¿Cuento con el respaldo para implementar Ciber-Controles? (Apoyo economico, recurso humano, aliados que me ayuden a reforzar estos controles)

En el Framework de ciberseguridad NIST, en su fase de identificar los riesgos, de evaluarlos y tratarlos. En esta etapa debemos realizar una comprension de la organización con sus manejos y sistemas de información.

Normalmente analizamos nuestra arquitectura y los diferentes sistemas que la componen, pero el hueco de seguridad puede no estar ahí, tambien debemos exigirle a los proveedores o terceros con los que tengamos realación que deben cumplir con ciertos controles de seguridad.

Nuestra comunicación con ellos debe ser segura para evitar que intercepten las comunicaciones o que por medio de sus sistemas ingresen a los de nosotros.

El framework NIST no es un software, sino un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas

Nada mejor que una descripción gráfica

El framework de NIST es un marco de trabajo que consiste en estándares, guías y prácticas para manejar riesgos de ciberseguridad.
Su núcleo consiste elaborar planes para:
Identificar los riesgos que puede tener la información
Proteger los activos e información crítica de la empresa
Detectar alguna vulnerabilidad o brecha de información
Responder a algún ataque o brecha de información
Recuperar el sistema lo mas pronto posible de ese ataque y fortalecerlo aún más

Framework NIST

Gracias
**Aporte sobre Análisis GAP** El análisis GAP en ciberseguridad es una evaluación que se realiza para identificar las brechas o discrepancias entre el estado actual de la seguridad informática y el estado deseado o requerido según estándares o mejores prácticas. Para comenzar a realizar este tipo de análisis, como **persona interesada en fortalecer la ciberseguridad**, te recomiendo seguir estos pasos: 1. **Comprensión del contexto**: Entender el entorno en el que se desarrolla la actividad. Esto implica conocer los activos críticos, las amenazas potenciales y las regulaciones aplicables. 2. **Recopilación de información**: Obtener información detallada sobre la infraestructura tecnológica, políticas de seguridad existentes, procedimientos y controles implementados. 3. **Identificación de estándares de seguridad**: Investigar y familiarizarse con los estándares de seguridad relevantes para tu industria o área de interés, como ISO 27001, NIST, CIS Controls, entre otros. 4. **Evaluación de brechas**: Comparar el estado actual de la seguridad con los requisitos y buenas prácticas establecidos en los estándares seleccionados. Identificar las brechas de seguridad y documentarlas adecuadamente. 5. **Priorización de acciones correctivas**: Clasificar las brechas identificadas según su criticidad y riesgo. Establecer un plan de acción para abordar primero aquellas brechas que representen mayores riesgos para la seguridad. 6. **Implementación de medidas correctivas**: Ejecutar las acciones correctivas necesarias para cerrar las brechas de seguridad identificadas. Esto puede incluir la actualización de políticas, la mejora de controles técnicos, la capacitación del personal, entre otras medidas. 7. **Monitoreo y revisión continua**: Establecer un proceso de monitoreo continuo para asegurarse de que las medidas correctivas implementadas sean efectivas y se mantengan alineadas con los estándares de seguridad establecidos. Realizar revisiones periódicas del análisis GAP para mantener la seguridad actualizada.
**NIST:** NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY - US DEPARTMENT OF COMMERCE <https://www.nist.gov/cyberframework>

Cuando nos encontramos con organización que están iniciando en el mundo de la ciberseguridad. Es primordial realizar una auditoría que permita entender el panorama completo de los procesos de negocios de la organización. El Framework NIST CSF V1.1 es el más recomendado, ya que evalúa el nivel actual de una organización ante incidentes cibernéticos y te permite definir un plan a futuro aumentado el nivel de madurez.

Toda Organización debe realizar un GAP Análisis (Análisis de brecha) a sus procesos en términos de ciberseguridad.

A que se le realiza el análisis:

  • Procesos internos como nominas
  • registros y control
  • transacciones bancarias

Para iniciar esta evaluación hay cuatro preguntas importantes:

  • Amenazas: ¿Tenemos claras las ciber-amenazas que nos podrían afectar?
  • Alcance: ¿Qué activos de información debo proteger de ciberataques?
  • Transferencia del riesgo: ¿Podría buscar apoyo en el tratamiento de riesgos identificados? Es decir, el proveedor de servicios en la nube por ejemplo, puede brindarnos apoyo para mitigar estos riesgos? o apuntar a las necesidades de mi negocio.
  • Apoyo: ¿Cuento con el respaldo para implementar ciber-controles? Esto es gerencial y procedimental. Es revisar si tenemos el presupuesto o el recurso humano para mitigar los riesgos.

Framework de seguridad NIST

Este tiene una sección de Evaluación de riesgos:

  1. Identificar: Desarrollamos una comprensión organizacional para la gestión del riesgo.

Riesgos:
Toda organización debe realizar un GAP (Análisis de brecha), a los procesos en términos de ciberseguridad.

Autoevaluación:

  • Amenazas: tener claras la ciber-amenazas que pueden afectar la información de la empresa.

  • Alcance: que activos se deben proteger de los ciberataques (servidores, bases de datos, recursos humanos).

  • Transferencia del riesgo: si se centrara un servicio, revisar si el proveedor puede apoyar con los ciber-controles (responsabilidad compartida).

  • Apoyo: Respaldo para implementar ciber-controles.

Una de las herramientas para fortalecer la ciberseguridad en las empresas es el Framework de ciberseguridad NIST https://www.nist.gov/cyberframework.

Para gestionar los riesgos de ciberseguridad, es importante que la organización realice un análisis de riesgos y autoevaluación para comprender las amenazas y el alcance de los activos de información que deben protegerse. También se debe considerar la transferencia del riesgo y contar con apoyo para implementar controles de ciberseguridad. El uso del NIST Cybersecurity Framework puede ser útil en este proceso para desarrollar una comprensión organizacional de la gestión del riesgo de ciberseguridad de sistemas, activos, datos y capacidades.

los dispositivos IOT ya que pueden ser facilmente introducidos a la empresa y los ciberdelincuentes tengan un punto de acceso por donde entrar.

Buenas tardes. ¿Dos procesos de Información que están involucrados y descubrir los riegos más relevantes?
Rta: Procesamiento de información en las bases de Datos y acceso a los sistemas IOT. Algunos de los riesgos son ciberataques por falta de seguimiento, control e implementación de recursos en Seguridad Informática.

Entiende tus riesgos
Para conocer los riesgos de una organización, se debe realizar un análisis de brecha (Gap Analysis), el cual consiste en analizar todos los procesos internos, haciendo foco en la ciberseguridad, determinando si la información que fluye es sensible e identificando los puntos débiles para aplicar controles.

Para llevar a cabo el análisis de brecha, se debe tener en cuenta las siguientes preguntas:

Amenazas: ¿Se conoce realmente las amenazas que existen?, ¿existen dispositivos vulnerables?, ¿quién puede querer atacar?
Alcance: ¿Que activos de información se debe proteger? (por ejemplo: bases de datos, servicios en la nube, recursos humanos)
Transferencia del riesgo: ¿Es posible apoyarse en servicios de terceros? (por ejemplo, si se contrató almacenamiento en la nube, el proveedor puede colaborar con los controles)
Apoyo: ¿Se tiene el respaldo para implementar los controles de seguridad? (económico, recursos humanos, aliados)

Mapear los riesgos a los que se enfrenta para evaluar los planes de acción que se tomará para resguardar la información.

  • Entiende tus riesgos

    • Toda organización deber tener un análisis de sus procesos
      • Análisis de Brecha (Gap Analysis): Consiste en analizar los procesos internos haciendo foco en la ciberseguridad.
    • Autoevaluación:

      • Amenazas: Tener claras las ciber amenazas que podrían afectar la información de mi empresa.
      • Alcance: Qué activos debo proteger y cuál sería el impacto de llegar a ser vulnerado.
      • Transferencia del riesgo: Identificar si tengo apoyo en el tratamiento de dichos riesgos.
      • Apoyo: Identificar si cuento con respaldo para implementar controles. (Recursos, Aliados, Presupuesto)
    • Frameworks de seguridad

Odio bastante el volumen de voz del profesor Diego, el sonido de una copiadora en la misma habitación basta para no escuchar absolutamente nada de su voz.

Excelente