Curso de Estrategia de Seguridad Informática para Empresas
Curso de Estrategia de Seguridad Informática para Empresas

Importancia de la seguridad de la información

1

Implementación de un Programa de Seguridad de la Información

2

Seguridad de la Información: Implementación y Estrategia Empresarial

Componentes clave de un programa de seguridad de la información

3

Componentes Clave de un Programa de Seguridad de la Información

4

Elementos Clave de Políticas de Seguridad de la Información

5

Gestión de Incidentes: Ciclo de Vida y Mejores Prácticas

6

Gestión de Vulnerabilidades en Seguridad Informática

Gestión de riesgos

7

Gestión de Riesgos en Seguridad de la Información

8

Gestión Holística del Riesgo en Organizaciones

9

Evaluación de Riesgos en Seguridad de la Información

10

Gestión de Riesgos y Controles ISO 27001 y NIST 800-53

Continuidad del negocio

11

Continuidad del Negocio y Recuperación ante Desastres

12

Análisis de Impacto al Negocio y Continuidad Operativa

Software seguro

13

Desarrollo Seguro de Software: Integración de Seguridad en el Ciclo de Vida

14

Proyectos de OWASP para Seguridad en Desarrollo de Software

15

OWASP Top 10: Riesgos Críticos en Aplicaciones Web y Móviles

16

Modelo de Madurez OWASP SAM para Aseguramiento de Software Seguro

Diseño del equipo

17

Roles Clave en un Programa de Seguridad de la Información

18

Certificaciones Clave en Seguridad de la Información

Caso de estudio Platzi

19

Certificación ISO 27001: Implementación y Mejora Continua en Platzi

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Curso de Estrategia de Seguridad Informática para Empresas

Curso de Estrategia de Seguridad Informática para Empresas

Ronald Escalona

Ronald Escalona

Gestión Holística del Riesgo en Organizaciones

8/19
Recursos

¿Qué es la gestión de riesgos y cómo impacta en las organizaciones?

La gestión de riesgos es un proceso crítico que va más allá de simplemente evaluar amenazas y vulnerabilidades. Es un enfoque holístico que involucra múltiples niveles dentro de una organización, desde la alta directiva hasta los operadores en el frente. Tener una comprensión clara de esta pirámide del riesgo no solo ayuda a abordar las amenazas de manera estratégica, táctica y operacional, sino que también facilita una comunicación eficiente y una toma de decisiones informada.

¿Cuáles son las cuatro fases de la gestión de riesgos?

¿Cómo se enmarca el riesgo?

Enmarcar el riesgo es la primera fase crucial en la gestión del mismo. Implica establecer el contexto para las decisiones que se tomarán, basadas en los riesgos identificados. Esto permite definir cómo se evaluarán y abordarán los riesgos estratégicamente. Tener este contexto claro ayuda a definir cómo la organización responderá efectiva y eficientemente.

¿En qué consiste la evaluación del riesgo?

La evaluación del riesgo es la fase que más se discute en el ámbito de la seguridad de la información. Comprende entender el nivel de riesgo al que están expuestos nuestros activos de información. El proceso se centra en la relación entre las amenazas potenciales y el impacto que estas podrían tener en dichos activos. Es el punto de partida para una evaluación que guiará las acciones futuras.

¿Cómo responde la organización a los riesgos?

Una vez identificados y evaluados los riesgos, la organización debe determinar qué acciones tomar. Existen diferentes estrategias posibles:

  • Evitar el riesgo: Eliminar una línea de negocio o área si el riesgo es demasiado alto.
  • Transferir el riesgo: Adquirir seguros para proteger activos valiosos.
  • Gestionar el riesgo mediante controles: Implementar medidas como cámaras de vigilancia o controles de acceso.

La clave está en alinear estas decisiones con la tolerancia al riesgo de la organización, considerando que a menudo implica gestionar los riesgos en lugar de eliminarlos completamente.

¿Qué significa la supervisión del riesgo?

Supervisar el riesgo implica un ciclo de mejora continua. Consiste en evaluar si las medidas tomadas para gestionar el riesgo son eficientes y efectivas. Dado que el entorno empresarial y las condiciones del mercado cambian constantemente, es vital ajustar las decisiones y asegurar que las estrategias de gestión del riesgo siguen siendo pertinentes.

¿Cuál es la diferencia entre seguridad de la información y seguridad informática?

Una confusión común es pensar que la gestión de riesgos solo se refiere a la seguridad informática. Sin embargo, en realidad abarca mucho más. La seguridad de la información incluye todos los activos de información, tanto digitales como físicos. Por otro lado, la seguridad informática se enfoca en la protección de los datos digitales. Es fundamental establecer controles tanto para activos físicos como para activos digitales, especialmente en organizaciones que manejan documentos físicos. Esta visión integral ofrece una mejor base para proteger los intereses de una compañía.

La gestión de riesgos es, por lo tanto, un pilar fundamental dentro de cualquier organización. Involucra a individuos en todos los niveles y exige un enfoque estratégico y táctico para garantizar la seguridad y el éxito a largo plazo. Con el compromiso de todas las partes, las organizaciones pueden avanzar hacia un futuro más seguro y resistente.

Aportes 9

Preguntas 0

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Juan Carlos Gutiérrez Ayala

Juan Carlos Gutiérrez Ayala

hace un año
Visión desde la directiva, gerencia media y áreas operacionales. Arriba somos más estratégicos, bajando somos más operacionales. 4 fases para la gestión del riesgo: 1. Enmarcar el riesgo. Establecer el contexto para las decisiones. 2. Evaluación del riesgo. 3. Responder al riesgo. Las **medidas adecuadas** que tomaremos, de acuerdo con nuestra **tolerancia** al riesgo. 4. Supervisión del riesgo. Ciclo de Deming de la mejora continua. Eficacia continua de la respuesta a los riesgos e identificar los cambios.
Eloy Chávez Dev

Eloy Chávez Dev

hace un año
## Visión de la gestión del riesgo desde diferentes niveles de la organización: **Directiva:** * **Enfoque estratégico:** La directiva se preocupa por los riesgos que pueden afectar la estrategia global de la organización, como la entrada de nuevos competidores o cambios en las regulaciones. * **Toma de decisiones:** La directiva utiliza la información sobre riesgos para tomar decisiones estratégicas, como la inversión en nuevos productos o la expansión a nuevos mercados. * **Tolerancia al riesgo:** La directiva establece la tolerancia al riesgo de la organización, que es el nivel de riesgo que la organización está dispuesta a aceptar. **Gerencia media:** * **Enfoque táctico:** La gerencia media se preocupa por los riesgos que pueden afectar las operaciones diarias de la organización, como errores humanos o fallos técnicos. * **Implementación de estrategias:** La gerencia media implementa las estrategias de gestión del riesgo establecidas por la directiva. * **Control de riesgos:** La gerencia media se encarga de controlar los riesgos mediante la implementación de medidas de seguridad y la monitorización de los indicadores de riesgo. **Áreas operacionales:** * **Enfoque operativo:** Las áreas operacionales se preocupan por los riesgos que pueden afectar su trabajo diario, como accidentes de trabajo o interrupciones del servicio. * **Identificación de riesgos:** Las áreas operacionales son las responsables de identificar los riesgos que pueden afectar su trabajo. * **Comunicación de riesgos:** Las áreas operacionales deben comunicar los riesgos a la gerencia media para que se puedan tomar las medidas necesarias.
Angie liliana Ocampo Sánchez

Angie liliana Ocampo Sánchez

hace un año
*Diferencias importantes para apreciar* **Seguridad de la información:** son todos los activos de información, digitales y físicos. **Seguridad informática:** se enfoca en la representación digital del dato.
Miguel Angel Franco

Miguel Angel Franco

hace un año
1\. Gestión de riesgo ![]()![]()![](https://static.platzi.com/media/user_upload/image-29061ede-ffd9-404a-a0e6-7cdb77d6af2d.jpg) Las 4 fases para la gestión del riesgo: · **Enmarcar el riesgo:** Establecer el contexto para las decisiones basadas en el riesgo. · **Evaluación del riesgo:** Con objetivo de determinar el nivel de riesgo a partir de las amenazas y vulnerabilidades. · **Responder al riesgo:** Determinar las medidas adecuadas alineadas a la tolerancia al riesgo de la organización. · **Supervisión del riesgo:** Ciclo de Deming de la mejora continua. Determinar la eficacia continua de la respuesta a los riesgos e identificar los cambios que afectan el riesgo.![]()![]()
Fernando Sánchez Mejía

Fernando Sánchez Mejía

hace un año
# ¿Qué se entiende por Riesgo? * El **riesgo** 🚨, en términos generales, se refiere a la posibilidad de que ocurra un evento que tenga un impacto negativo 😬. En el contexto de seguridad de la información, el riesgo está relacionado con las amenazas que pueden explotar vulnerabilidades y causar daño, pérdida o alteración no deseada de datos. Las estrategias para manejar el riesgo incluyen: 1. **Evitar el riesgo:** Aunque no siempre es posible, evitar actividades que presenten riesgos innecesarios puede ser una forma efectiva de gestión. Sin embargo, esto a veces puede privar de oportunidades 🚫. 2. **Transferir el riesgo:** Consiste en trasladar el riesgo a otra entidad. Un ejemplo es el seguro, donde se compra una póliza para transferir el riesgo financiero asociado a ciertos eventos 🔄. 3. **Gestionar el riesgo:** Este enfoque implica analizar las amenazas y evaluar la probabilidad de ocurrencia. Luego, se implementan controles para minimizar el impacto del riesgo. La gestión de riesgos es una práctica común en la ciberseguridad y otras áreas para proteger activos y datos 🕵️‍♂️. ![CyberNinja.jpg](https://prod-files-secure.s3.us-west-2.amazonaws.com/8baaf65a-e9e3-4fef-8ee9-1d886becabe0/dda1135e-53d7-4cca-80b4-8949f2c4b40f/CyberNinja.jpg) El concepto de **riesgo intrínseco** se refiere al riesgo que está presente sin ningún tipo de control 🔄. En ciberseguridad, esto implica calcular el impacto y la probabilidad de ocurrencia de amenazas antes de aplicar controles. Cuando se implementan controles, se está minimizando el impacto del riesgo, pero es importante tener en cuenta que el riesgo nunca se elimina por completo. El término **riesgo residual** se refiere al impacto que permanece después de aplicar controles 🔄. Aunque se implementen medidas para reducir el riesgo, siempre existe un nivel residual que debe ser aceptado, ya que es difícil o imposible eliminar completamente todos los riesgos. La gestión efectiva del riesgo implica evaluar y aceptar el riesgo residual de manera consciente y informada 🤔.
Francisco Marín

Francisco Marín

hace 7 meses
¿Qué es la mejora continua según Deming?Fue desarrollado por Edward Deming y **consiste en un ciclo dinámico de cuatro etapas: Planificar, Hacer, Actuar y Verificar**, que se puede emplear en procesos y proyectos de las organizaciones para mejorar continuamente su calidad.
Rene Rodríguez

Rene Rodríguez

hace 9 meses
Holístico ciberseguridad: proteger la confidencialidad de los datos de la compañía,administrar riesgo y asegurar el cumplimiento de los parámetros de seguridad establecidos.
josadecpedraza

josadecpedraza

hace 2 meses
¿Qué se entiende por gestión de riesgo? Se refiere al proceso de identificar, evaluar y controlar las amenazas que pueden afectar los activos de información de una organización. Implica analizar la probabilidad de que una amenaza explote una vulnerabilidad y el impacto que esto podría tener. Las opciones para gestionar riesgos son evitar, transferir o tratar de disminuir el riesgo. Es esencial para minimizar pérdidas financieras, daños a la reputación e interrupciones operativas. ¿Qué es una amenaza?: Cualquier circunstancia, condición o evento con el potencial de causar daño, perdida o alteración no deseada de los datos. Existen varios tipos de amenazas en el contexto de la ciberseguridad: 1. **Amenazas intencionadas:** Actores maliciosos que buscan causar daño, como hackers o competidores. 2. **Amenazas naturales:** Desastres como inundaciones, terremotos o incendios que pueden afectar la infraestructura. 3. **Amenazas internas:** Empleados o contratistas que pueden comprometer la seguridad, ya sea intencional o accidentalmente. 4. 4\. **Amenazas tecnológicas:** Vulnerabilidades en software o hardware que pueden ser explotadas. ¿Qué se entiende por riesgo? La posibilidad de que una amenaza explote una vulnerabilidad, causando un impacto negativo. Los tipos de pérdidas que podrías enfrentar debido a riesgos en la seguridad de la información incluyen: 1. **Pérdidas financieras:** Costos asociados a incidentes de seguridad, como robo de información o interrupciones operativas. 2. **Daños a la reputación:** Pérdida de confianza por parte de clientes y partners tras un incidente. 3. **Interrupciones operativas:** Tiempo de inactividad que afecta la productividad. 4. **Violaciones a la privacidad:** Exposición de datos sensibles de clientes o empleados. ¿Qué hacemos con el riesgo? * **Lo evitamos:** Aunque no es común, pero se puede usar, Eso puede implicar parar operaciones * **Lo transferimos:** Se puede transferir el riesgo pagando un seguro, puede ser una póliza con un tercero. * **Lo gestionamos:** es la mejor opción y es analizar estas amenazas y su probabilidad de ocurrencia. * **Riesgo intrínseco**: El asumir sin implementar ninguna protección, Calculamos el impacto sobre la probabilidad de ocurrencia. Es el riesgo que se incurre sin implementar ningún tipo de control. Se refiere a la exposición que tiene un activo cuando no se toman medidas de protección. * **Riesgo residual:** Es el riesgo que queda después de aplicar controles o medidas de mitigación. Representa el impacto. restante que no se puede eliminar completamente.
MARIA TERESA PANIAGUA RIVERA

MARIA TERESA PANIAGUA RIVERA

hace 6 meses
gracias