Contenido del curso
Eloy Chávez Dev
Iriquel Bernabel
Diego Fernando Ramos Aguirre
Juan Carlos Gutiérrez Ayala
Miguel Angel Franco
Diego Fernando Ramos Aguirre
Javier Ramos
Javier Ramos
Javier Ramos
Omar Aguayo
Ronald Escalona
Arístides Pérez Hernández
Arístides Pérez Hernández
Javier enrrique jorge carrillo
José Simón cortez Hernández
Carlos Buendia
Jonathan Lozano Alcalá
Juan Carlos Silva Vargas
José Simón cortez Hernández
José Simón cortez Hernández
José Simón cortez Hernández
Robespier Mejia Garcia
Robespier Mejia Garcia
MARIA TERESA PANIAGUA RIVERA
Esta información es buen complemento de la clase ordenado en 5 Componentes clave:
1. Gobierno y gestión:
2. Protección de activos:
3. Seguridad de la infraestructura:
4. Seguridad de las operaciones:
5. Monitoreo y mejora:
Excelente. Muchísimas gracias. Este curso es de gran valor. Gracias por esos puntos.
Excelente aporte y si un gran complemento de la clase.
Referencias gubernamentales.
Normas de la Industria.
Prácticas secundarias, estándares y buenas prácticas de la comunidad de expertos.
Diez elementos clave:
3. Componentes clave de un programa de seguridad de la información
3.1. Componentes claves
3.1.1. Políticas de seguridad
Son las normas, directrices, la posición de la organización en como va proteger la información.
3.1.2. Gestión de riesgos
Un enfoque orientado a riesgos nos permite priorizar o comprender a lo que estamos expuestos.
· ¿Qué tan sensible es la información?
· ¿Cuál es su valor?
· ¿Qué representa para la organización?
De acuerdo a las preguntas anteriores que tanto debo invertir en controles para mitigar riesgos.
3.1.3. Control de accesos
Define quien tiene acceso a la información y los recursos.
3.1.4. Concienciación y formación
Se refiere al elemento más débil de una organización (Nosotros), debemos ser conscientes que la seguridad de la información debe ser parte del día a día. No divulgar datos sensibles de la organización a personas que no son de tu entorno laboral incluso del área que no los requiere.
3.1.5. Respuesta a incidentes
Nos ayuda a preparar, evitar y entender que son los riesgos, las fallas mas comunes que podemos tener y trabajar en ello.
3.1.6. Recuperación ante desastres y continuidad del negocio
La seguridad de la información busca darle continuidad al negocio, pero también proteger los activos de información y las personas.
3.1.7. Seguridad física
· Quien tiene permitido acceder a espacios.
· Que tanto se quedan en los registros de seguridad el ingreso de estas personas.
· ¿Quién?, ¿Cuándo?, ¿A qué hora?, tienen acceso del personal.
3.1.8. Cumplimiento normativo
Se debe tener en cuenta el criterio en el que se maneja el negocio y cuales son las leyes, reglamentos o los estándares que debemos cumplir.
3.1.9. Gestión de vulnerabilidades
Hay que entender las fallas en las que están expuestas nuestros procesos (No necesariamente tienen que ser software), Tener en cuenta el personal que entra a nuestra organización y cumplir con unos protocolos de seguridad como carnet, huella, etc.
3.1.10. Seguridad en el siclo de vida de desarrollo de software (SSDLC)
El requisito funcional debe ir acompañado con un requisito de seguridad, cual es el impacto que se expone la seguridad o los datos que va a manejar este software o el sistema.
Excelente resumen gracias.
Un programa efectivo de Seguridad de la información abarca unos componentes claves que garantizan el éxito en el objetivo de alcanzar una certificaicon, un cumplimiento de ley o simplemente demostrar que se siguen buenas practicas en el manejo de la seguridad de la información en tu empresa .
A continuación se listan 10 componentes claves para la implemnteción de un programa de seguridad de la información , cabe a notar que no son los unicos .
Poiticas de seguridad
Son las reglas del juego, determinan como se va a proteger la información, y definido esto crear los procedimientos para capacitación y manejo de los activos de la infomracíon en la organización
Caracteristicas
Gestión de riesgos
Un enfoque basado en riesgos, permite priorizar, entender y gestionar la seguridad de la información enfocandose en "Que tan sencible es una información y cual es su valor, que representa " de acuerdo a esto se podra determinar que tanto invertir en controles para mitigar el riesgo
Caracteristcias
Se podrían poner estos puntos en un funciograma?
Claro! te invito a que lo construyas con lo aprendido y lo compartas acá para la Comunidad. Muchas gracias!
¿Cómo integrar seguridad al desarrollar software nuevo?
La clave está en no dejar la seguridad para el final, sino inyectarla desde el minuto cero usando un ciclo de vida de desarrollo de software seguro (SSDLC). Piensa en la construcción de un edificio: no intentas agregar los cimientos antisísmicos después de haber pintado las paredes. De la misma manera, cuando levantes los requisitos funcionales de tu aplicación, debes emparejarlos inmediatamente con requisitos de seguridad. Si tu software va a manejar perfiles de usuario, el diseño inicial ya debe contemplar cómo se van a encriptar esas contraseñas y cómo se validarán los accesos. Al integrar pruebas de vulnerabilidades y revisiones de código en cada fase de la creación, minimizas los errores estructurales, ahorras costos de refactorización y lanzas un producto robusto desde su concepción.
¿Cuándo debo aplicar normativas como PCI DSS?
Debes aplicar este tipo de normativas en el momento exacto en que tu modelo de negocio empiece a procesar, almacenar o transmitir información altamente regulada, como los datos de tarjetas de crédito. El nivel de cumplimiento normativo no es igual para todos; depende enteramente de tu industria. Por ejemplo, si tienes una clínica médica, tu prioridad absoluta será cumplir con leyes de protección de datos de salud de los pacientes. Pero si tienes un e-commerce y decides integrar pasarelas de pago como Visa o MasterCard, automáticamente entras en la jurisdicción de PCI DSS. Entender tu entorno de negocio te permite saber qué reglas del juego aplican para ti, evitando multas millonarias y garantizando a tus clientes que sus datos más sensibles están resguardados bajo estándares internacionales.
Crear un programa de seguridad no empieza con tecnología, sino con entender qué es lo que realmente intentas proteger. Es como construir una casa: no compras las cerraduras antes de saber dónde están las puertas.
Si tuvieras que identificar el activo más crítico de tu organización hoy, ¿por dónde empezarías a buscar?
los ataques cibernético aquí en el salvador se dió uno a la empresa claro en el año 2024 creo q fue más de mes de ramsofware
Diez COMPONENTES clave:
😎👉 Diferencias entre Incidente e Incidencia:
Incidente: (x culpa de la gente) Acceso no autorizado a los sistemas y fuga de la información.
Incidencia: (x el sistema) Fallo en un servidor que provoca la indisponibilidad de un servicio.
Que tan internacional es la ISO 27000, veo que en Colombia se usa mucho; pero en USA se habla mas de temar relacionados con cumplimientos de normas como SOC, HIPPA, etc.
en ataques ho perdidas ya sea x q error se elimina Gmail! apele y nada no recupere m Gmail quiero recuperar mi información
Para casos como el tuyo, José, el componente de "Gestión de Incidentes" es vital. Aunque no sea un ataque externo, la pérdida de acceso es un evento que interrumpe tu operación. Debes revisar las políticas de uso y recuperación de la plataforma.
lo de Google tenía una cuenta vinculada con fotos y todo y la copia activada en la nube enviaron imagen y se subió y me suspendieron mi Gmail más q tenía fotos ahí q no tengo copia y estaba vinculada con una APK okex pero ya no opera esa en el salvador que puedo hacer si tenía criptos
¿Por qué es importante la gestión de vulnerabilidades y el desarrollo seguro de software?
Estos son los diez componentes básicos de un programa de seguridad de la información. Aunque pueden variar según estándares específicos, todos comparten el mismo objetivo: gestionar de manera eficaz los riesgos asociados con los activos de información. Integrar estas prácticas en tu organización no solo protegerá tus recursos, sino también mejorará tus operaciones diarias al mitigar riesgos potenciales.
Gestión de riesgos
Una gestión de riesgos basada en un enfoque de prioridades es crucial. Esto implica comprender qué tan valiosa es la información y cuánto se debe invertir en controles para mitigar riesgos.
Controles de acceso
Implementar el principio de "mínimo privilegio" ayuda a mejorar la postura de seguridad. Un enfoque de seguridad centrado en el dato resulta en un control de acceso más eficiente.
Concienciación y formación
El eslabón más débil en la cadena de seguridad suele ser el humano. Programas de concienciación y formación son esenciales para gestionar la sensibilidad de la información.
gracias
