Seguridad de la Información: Implementación y Estrategia Empresarial

Clase 2 de 19 • Curso de Estrategia de Seguridad Informática para Empresas

Eloy Chávez Dev

student•

Security as a Business Enabler (SaaBE): Un nuevo enfoque para la seguridad

SaaBE va más allá de la simple protección de datos y sistemas, transformando la seguridad en un activo estratégico que impulsa el crecimiento y la innovación del negocio.

Aumenta la confianza y fidelidad del cliente: Los clientes se sienten seguros al interactuar con empresas que protegen su información.

Promueve la innovación: La seguridad robusta permite a las empresas explorar nuevas tecnologías y oportunidades de negocio.
Mejora la eficiencia operativa: La automatización y la gestión de riesgos optimizan los procesos y reducen costes.
Fortalece la reputación de la marca: Una sólida cultura de seguridad genera confianza y prestigio en el mercado.
Atrae y retiene talento: Los empleados valoran trabajar en empresas que priorizan la seguridad y la privacidad.

Fernando Sánchez Mejía

student•

# Objetivos del Programa de Seguridad de la Información

## 1. Salvaguardar la Confidencialidad

**Meta:** Garantizar la protección contra accesos no autorizados, preservando la privacidad y el secreto de la información.

**Acciones:**

- Implementar controles de acceso y autenticación.

- Encriptar datos sensibles durante su almacenamiento y transmisión.

- Establecer políticas claras de manejo de información confidencial.

## 2. Garantizar la Integridad de los Datos

**Meta:** Asegurar que los datos sean exactos y completos, evitando alteraciones indebidas durante su ciclo de vida.

**Acciones:**

- Implementar mecanismos de verificación y validación de datos.

- Establecer procedimientos para la actualización segura de la información.

- Realizar auditorías regulares para detectar posibles cambios no autorizados.

## 3. Garantizar la Disponibilidad de la Información

**Meta:** Asegurar el acceso oportuno y confiable a los datos por parte de usuarios autorizados cuando sea necesario.

**Acciones:**

- Implementar redundancias y sistemas de respaldo.

- Establecer protocolos de respuesta ante incidentes para minimizar el tiempo de inactividad.

- Monitorear continuamente la infraestructura para prevenir y mitigar posibles fallas.

## 4. Alineación con los Objetivos Organizacionales

**Meta:** Alinear el programa de seguridad de la información con los objetivos estratégicos de la organización.

**Acciones:**

- Integrar la seguridad de la información en la planificación estratégica.

- Definir métricas de desempeño que demuestren la contribución de la seguridad a los objetivos organizacionales.

- Adaptar el programa a los cambios en la estructura y metas de la organización.

## 5. Enfoque Basado en Riesgos

**Meta:** Gestionar los recursos de seguridad de manera efectiva y proporcional al valor y sensibilidad de la información.

**Acciones:**

- Realizar evaluaciones periódicas de riesgos y vulnerabilidades.

- Priorizar la implementación de controles según la criticidad de los activos de información.

- Ajustar continuamente el programa en función de las cambiantes amenazas y riesgos.

## 6. Seguridad como Factor de Negocio

**Meta:** Posicionar la seguridad como un habilitador del crecimiento y éxito empresarial.

**Acciones:**

- Comunicar los beneficios comerciales de la seguridad a las partes interesadas.

- Obtener certificaciones de seguridad para acceder a nuevos mercados.

- Integrar la seguridad en la cultura organizacional, demostrando su valor como parte integral de los procesos diarios.

## 7. Protección de la Marca y Reputación

**Meta:** Evitar brechas de seguridad que puedan impactar negativamente la marca y reputación de la empresa.

**Acciones:**

- Implementar medidas de seguridad para prevenir incidentes.

- Establecer un plan de respuesta a incidentes efectivo.

- Utilizar el programa de seguridad como un diferenciador positivo en el mercado.

## 8. Facilitar la Adopción de Nuevas Tecnologías

**Meta:** Permitir la incorporación segura de nuevas tecnologías y enfoques de negocio.

**Acciones:**

- Evaluar la seguridad de las nuevas tecnologías antes de su implementación.

- Asegurar la compatibilidad de las soluciones de seguridad con las innovaciones tecnológicas.

- Proporcionar capacitación continua al personal sobre las mejores prácticas de seguridad.

## 9. Desarrollar un Modelo de Madurez en Seguridad

**Meta:** Avanzar hacia un nivel de madurez que garantice una protección efectiva de los activos de la organización.

**Acciones:**

- Evaluar periódicamente la eficacia de los controles de seguridad.

- Implementar mejoras continuas en el programa basadas en lecciones aprendidas de incidentes y auditorías.

- Fomentar una cultura de seguridad que promueva la responsabilidad individual y colectiva.

Un programa de seguridad de la información efectivo no solo protege los activos de una organización, sino que también contribuye al crecimiento, la confianza del cliente y el éxito continuo en el mercado.

Eloy Chávez Dev

student•

Objetivos del programa de seguridad de la información

Confidencialidad: Proteger la información para evitar accesos no autorizados, asegurando que solo personas autorizadas puedan acceder a ella.

Integridad: Asegurar la precisión y confiabilidad de la información, evitando su alteración o destrucción.

Disponibilidad: Garantizar que la información esté disponible cuando se necesita, incluso en caso de un incidente de seguridad.

Javier Ramos

student•

LA SEGURIDAD COMO FACTOR DE NEGOCIO

Security as a Business Enable

Un programa de la seguridad de la información debe estar alineado a los objetivos de la organización y tener un enfoque basado en riesgos

Una forma de lograr aprobar presupuesto y llevar acabo el programa de seguridad de la información es entender la seguridad como factor de negocio

(Security as a Business Enable) en donde vemos que la seguridad no es solo un compromiso de cumplimiento o carga para la organización , si no un elemento que potencia y habilita el crecimiento de la misma

Security as a Businnes Enabler

Generar confianza
Abrir nuevas oportunidades
Proteger la marca
Habilitar la innovación

Javier Ramos

student•

Como implemento seguridad en mi organizacion?
Como evito ser hackeado?
Que es esto de los ransomware?
Como me protejo ante todas estas amenazas?

La respuesta Crear un programa de seguridad de la información visto desde la perspectiva de negocio en una organizacion

CONCEPTOS BASICOS

Objetivos de la seguridad de la información

CONFIDENCIALIDAD : Proteger los datos de accesos no autorizados, preservando la privacidad y secreto

INTEGRIDAD: Los datos sean exactos y completos, evitando alteraciones indebidas durante su ciclo de vida

DISPONIBILIDAD: Acceso oportuno y confiable a los datos por usuarios autorizados cuando se necesiten

Javier Ramos

student•

DEFINICION

Según el Instituto nacional de estandares y tecnoligias de los Estados unidos (NIST por sus siglas en inglés, National Institute of Standards and Technology

Un programa de seguridad de la información es un conjunto de politicas de gestion,procesos y controles , diseñados para proteger la Confidencialidad, integridad, y disponibilidad de la información y los sistemas de información de una organización

Debe estar alineado a los objetivos de la organización y diseñado para abordar los riesgos especificos a los que estan expuestos estos objetivos, con un enfoque o buenas practicas de gestión de riesgo debe asegurar la implementación de controles efectivos que requieran estos objetivos

Enfoque basado en el riesgo es fundamental para gestionar los recursos de seguridad ,

Javier Ramos

student•

ENFOQUE BASADO EN RIESGOS

Es Fundamental ya que permite evaluar la sensibilidad y el valor de la información y en base a ello determinar que tanto se debe inveetir que tantos controles, que tan fuertes y avanzados deben ser para proteger los objetivos

Patricio Sánchez Fernández

student•

Al momento de justificar la inversión en Seguridad, Nótese que no utilicé la palabra "gasto". Se debe hacer la siguiente pregunta al Dpto de ventas y Dpto de Presupuestos: ¿Uds están dispuestos a perder un 40% de sus clientes? Es lo que podría suceder si no contamos con herramientas de ciberseguridad, para proteger los datos y demás activos involucrados en un posible hackeo. Si hablas así de claro, con los departamentos involucrados, es más posible que no sólo te escuchen, sino también visualicen el escenario hipotético al que deberían enfrentar, si consideran la ciberseguridad como un gasto irrelevante.

Miguel Angel Franco

student•

2. Objetivos del programa de seguridad de la información

2.1. Propiedades básicas de la seguridad de la información

Confidencialidad: Proteger los datos de accesos no autorizados, preservando la privacidad y secreto.

Integridad: Los datos sean exactos y completos, evitando alteraciones indebidas durante su ciclo de vida.

Disponibilidad: Acceso oportuno y confiable a los datos por usuarios autorizados cuando se necesiten.

2.2. ¿Porque crear un programa de seguridad de la información?

Según el instituto nacional de estándar y tecnologías de los estados unidos, un programa de seguridad de la información, es un conjunto de políticas, gestión, procesos y controles que esta dirigidos a proteger la confidencialidad, integridad y disponibilidad de la información y los sistemas de información de una organización.

2.3. Puntos clave para el ámbito de negocio

Un programa de seguridad de la información debe estar alineados a los objetivos de la organización y diseñado para abordar los riesgos específicos a los que están expuestos estos objetivos.

El enfoque basado en el riesgo es fundamental para gestionar los recursos de seguridad, además para evaluar el valor de esta información, que tan fuertes o estrictos deben ser.

2.4. La seguridad como factor de riesgo

(Security as a business Enabler) es la justificación de como la seguridad no es solo un compromiso de cumplimiento o una carga para la organización, al contrario, es un elemento que potencia y habilita el crecimiento de la organización.

• Generar confianza

• Abrir nuevas oportunidades

• Proteger la marca

• Habilitar la innovación

Diego Fernando Ramos Aguirre

student•

Gran resumen, gracias por el aporte.

Christian Van Der Platzi

Team Platzi•

Muchas Ronald por implementar tan increíbles políticas de seguridad de nuestra información.

Jheanpiere Alejandro Cerdan Sigüeñas

student•

<u>Objetivos del Programa de Seguridad de la Información</u>

1. Salvaguardar la Confidencialidad

Meta:

- Garantizar la protección contra accesos no autorizados, preservando la privacidad y el secreto de la información.

Acciones:

- Implementar controles de acceso y autenticación.

- Encriptar datos sensibles durante su almacenamiento y transmisión.

- Establecer políticas claras de manejo de información confidencial.

2. Garantizar la Integridad de los Datos

Meta:

- Asegurar que los datos sean exactos y completos, evitando alteraciones indebidas durante su ciclo de vida.

Acciones:

- Implementar mecanismos de verificación y validación de datos.

- Establecer procedimientos para la actualización segura de la información.

- Realizar auditorías regulares para detectar posibles cambios no autorizados.

3. Garantizar la Disponibilidad de la Información

Meta:

- Asegurar el acceso oportuno y confiable a los datos por parte de usuarios autorizados cuando sea necesario.

Acciones:

- Implementar redundancias y sistemas de respaldo.

- Establecer protocolos de respuesta ante incidentes para minimizar el tiempo de inactividad.

- Monitorear continuamente la infraestructura para prevenir y mitigar posibles fallas.

4. Alineación con los Objetivos Organizacionales

Meta:

- Alinear el programa de seguridad de la información con los objetivos estratégicos de la organización.

Acciones:

- Integrar la seguridad de la información en la planificación estratégica.

- Definir métricas de desempeño que demuestren la contribución de la seguridad a los objetivos organizacionales.

- Adaptar el programa a los cambios en la estructura y metas de la organización.

5. Enfoque Basado en Riesgos

Meta:

- Gestionar los recursos de seguridad de manera efectiva y proporcional al valor y sensibilidad de la información.

Acciones:

- Realizar evaluaciones periódicas de riesgos y vulnerabilidades.

- Priorizar la implementación de controles según la criticidad de los activos de información.

- Ajustar continuamente el programa en función de las cambiantes amenazas y riesgos.

6. Seguridad como Factor de Negocio

Meta:

- Posicionar la seguridad como un habilitador del crecimiento y éxito empresarial.

Acciones:

- Comunicar los beneficios comerciales de la seguridad a las partes interesadas.

- Obtener certificaciones de seguridad para acceder a nuevos mercados.

- Integrar la seguridad en la cultura organizacional, demostrando su valor como parte integral de los procesos diarios.

7. Protección de la Marca y Reputación

Meta:

- Evitar brechas de seguridad que puedan impactar negativamente la marca y reputación de la empresa.

Acciones:

- Implementar medidas de seguridad para prevenir incidentes.

- Establecer un plan de respuesta a incidentes efectivo.

- Utilizar el programa de seguridad como un diferenciador positivo en el mercado.

8. Facilitar la Adopción de Nuevas Tecnologías

Meta:

- Permitir la incorporación segura de nuevas tecnologías y enfoques de negocio.

Acciones:

- Evaluar la seguridad de las nuevas tecnologías antes de su implementación.

- Asegurar la compatibilidad de las soluciones de seguridad con las innovaciones tecnológicas.

- Proporcionar capacitación continua al personal sobre las mejores prácticas de seguridad.

9. Desarrollar un Modelo de Madurez en Seguridad

Meta:

- Avanzar hacia un nivel de madurez que garantice una protección efectiva de los activos de la organización.

Acciones:

- Evaluar periódicamente la eficacia de los controles de seguridad.

- Implementar mejoras continuas en el programa basadas en lecciones aprendidas de incidentes y auditorías.

- Fomentar una cultura de seguridad que promueva la responsabilidad individual y colectiva.

Cristian Camilo Quintero Soledad

student•

Para montar una empresa de ciberseguridad, debes cumplir con ciertos requisitos que pueden variar según el país. Generalmente, es necesario:

Registro Legal: Registrar tu empresa como entidad legal, ya sea como autónomo, sociedad limitada, etc.
Licencias y Permisos: Consultar la normativa local sobre licencias específicas para ofrecer servicios de ciberseguridad.
Certificaciones: Obtener certificaciones relevantes en ciberseguridad (como ISO 27001) puede ser un plus para ganar confianza.

La entidad que debes consultar dependerá de tu país; puede ser un ministerio de comercio, industria o una agencia reguladora específica.

Fernando Sánchez Mejía

student•

# Objetivos del Programa de Seguridad de la Información

## 1. Salvaguardar la Confidencialidad

**Meta:** Garantizar la protección contra accesos no autorizados, preservando la privacidad y el secreto de la información. 🔒

**Acciones:**

- Implementar controles de acceso y autenticación.

- Encriptar datos sensibles durante su almacenamiento y transmisión.

- Establecer políticas claras de manejo de información confidencial.

## 2. Garantizar la Integridad de los Datos

**Meta:** Asegurar que los datos sean exactos y completos, evitando alteraciones indebidas durante su ciclo de vida. 🔄

**Acciones:**

- Implementar mecanismos de verificación y validación de datos.

- Establecer procedimientos para la actualización segura de la información.

- Realizar auditorías regulares para detectar posibles cambios no autorizados.

## 3. Garantizar la Disponibilidad de la Información

**Meta:** Asegurar el acceso oportuno y confiable a los datos por parte de usuarios autorizados cuando sea necesario. 🌐

**Acciones:**

- Implementar redundancias y sistemas de respaldo.

- Establecer protocolos de respuesta ante incidentes para minimizar el tiempo de inactividad.

- Monitorear continuamente la infraestructura para prevenir y mitigar posibles fallas.

## 4. Alineación con los Objetivos Organizacionales

**Meta:** Alinear el programa de seguridad de la información con los objetivos estratégicos de la organización. 📈

**Acciones:**

- Integrar la seguridad de la información en la planificación estratégica.

- Definir métricas de desempeño que demuestren la contribución de la seguridad a los objetivos organizacionales.

- Adaptar el programa a los cambios en la estructura y metas de la organización.

## 5. Enfoque Basado en Riesgos

**Meta:** Gestionar los recursos de seguridad de manera efectiva y proporcional al valor y sensibilidad de la información. ⚖️

**Acciones:**

- Realizar evaluaciones periódicas de riesgos y vulnerabilidades.

- Priorizar la implementación de controles según la criticidad de los activos de información.

- Ajustar continuamente el programa en función de las cambiantes amenazas y riesgos.

## 6. Seguridad como Factor de Negocio

**Meta:** Posicionar la seguridad como un habilitador del crecimiento y éxito empresarial. 🚀

**Acciones:**

- Comunicar los beneficios comerciales de la seguridad a las partes interesadas.

- Obtener certificaciones de seguridad para acceder a nuevos mercados.

- Integrar la seguridad en la cultura organizacional, demostrando su valor como parte integral de los procesos diarios.

## 7. Protección de la Marca y Reputación

**Meta:** Evitar brechas de seguridad que puedan impactar negativamente la marca y reputación de la empresa. 🛡️

**Acciones:**

- Implementar medidas de seguridad para prevenir incidentes.

- Establecer un plan de respuesta a incidentes efectivo.

- Utilizar el programa de seguridad como un diferenciador positivo en el mercado.

## 8. Facilitar la Adopción de Nuevas Tecnologías

**Meta:** Permitir la incorporación segura de nuevas tecnologías y enfoques de negocio. 🔄💡

**Acciones:**

- Evaluar la seguridad de las nuevas tecnologías antes de su implementación.

- Asegurar la compatibilidad de las soluciones de seguridad con las innovaciones tecnológicas.

- Proporcionar capacitación continua al personal sobre las mejores prácticas de seguridad.

## 9. Desarrollar un Modelo de Madurez en Seguridad

**Meta:** Avanzar hacia un nivel de madurez que garantice una protección efectiva de los activos de la organización. 📈🔄

**Acciones:**

- Evaluar periódicamente la eficacia de los controles de seguridad.

- Implementar mejoras continuas en el programa basadas en lecciones aprendidas de incidentes y auditorías.

- Fomentar una cultura de seguridad que promueva la responsabilidad individual y colectiva.

Ketty Reyes

student•

Propiedades básicas de seguridad de la información . CONFIDENCIALIDAD: tiene como objetivo proteger los datos de accesos no autorizados, preservando la privacidad y secreto.

INTEGRIDAD: te garantiza que los datos sean exactos y completos, evitando alteraciones indebidas durante su ciclo de vida.

DISPONIBILIDAD: tiene como garantía el acceso oportuno y confiable a los datos por usuarios autorizados cuando se necesitan

Un programa de seguridad de la información es un conjunto de políticas de gestión, procesos y controles que están diseñados para proteger la CONFIDENCIALIDAD, LA INTEGRIDAD y la DISPONIBILIDAD de la información de y los sistemas de información de una organización y debe estar alineado a los objetivos de la organización y tener un enfoque basado en riesgos. . Entender la seguridad como factor de negocio (Security as a business Enabler)

Cristian Camilo Quintero Soledad

student•

Las regulaciones de seguridad de la información varían por país, pero también hay normativas internacionales que influyen en las políticas de seguridad de las organizaciones. Por ejemplo, la norma ISO 27001 proporciona un marco internacional estandarizado para la gestión de la seguridad de la información. Además, regulaciones como el GDPR en Europa establecen requisitos específicos para la protección de datos personales. Es fundamental que las empresas alineen su programa de seguridad a las regulaciones locales e internacionales pertinentes para garantizar su efectividad y cumplimiento.

DIEGO JESUS SIMBAÑA VINUEZA

student•

Implementar un programa de seguridad de la información es fundamental para proteger los activos más valiosos de una organización, como los datos confidenciales de clientes, la propiedad intelectual y la información financiera. Estos datos, si caen en manos equivocadas, pueden generar graves consecuencias, desde fraudes hasta la pérdida de ventajas competitivas. Además, un programa robusto ayuda a reducir el riesgo de ciberataques, como malware, phishing o ataques de denegación de servicio (DoS), que pueden paralizar operaciones y causar pérdidas significativas. Al prevenir estos incidentes, las empresas no solo protegen su infraestructura tecnológica, sino que también aseguran la continuidad de sus operaciones, minimizando tiempos de inactividad y evitando daños a su reputación.

Carlos Buendia

student•

PORQUE CREAR UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN, COMO LOS IMPLEMENTO Y COMO ME PROTEJO?

CONCEPTOS BASES-OBJETIVOS DE SEGURIDAD:

CONFIDENCIALIDAD, GARANTIZA LA PROTECCION DE LOS ACCESOS NO AUTORIZADOS PRESERVADOS LA SEGURIDAD DE LA INFORMACION

INTEGRIDAD, QUE LOS DATOS SEAN EXACTOS Y COMPLETOS, SIN VARIACIONES

LA DISPONIBILIDAD, LA GARANTIA DE ACCESO Y OPORTUNO Y CONFIABLE DE LOS DATOS AUTORIZADOS CUANDO SE NECSITEN.

ES UN CONJUNTO DE POLICITICAS DE GESTION, PROCESOS Y CONTROLES PARA PROTEGER LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACION Y LOS SISTEMAS DE INFORMACION DE UNA ORGANIZACION.

ALINEADO A OBJETIVOS

ENFOQUE BASADO EN RIESGOS

LA SEGURIDAD COMO FACTOR DEL NEGOCIO, SECURITY AS A BUSINESS ENABLER )SaaBE

UN CLIENTE Q CONFIA SUS DATOS PUEDE TENER MAYOR FIDELIDAD CON LA EMPRESA, MAYOR CONFIANZA, SI NOS CERTFICAMOS EN SEGURIDAD, PODEMOS ENTRAR A NUEVOS MERCADOS, AYUDA A PROTEGER LA MARCA, TB PODEMOS AGREGAR NUEVAS TECNOLOGÍAS, ASI QUE SEGURIDAD POTENCIA EL NEGOCIO.

NO SOLO ES UN CONJUNTO DE TECNOLOGIA, SINO ES UN PROCESO INTEGRAL, QUE IMPLICA EN PROCESOS DE NEGOCIO O DE OPERAR, TB SE INCLUYE LA GESTION DE PERSONAL Y LA CULTURA ORGANIZACIONAL

Jonathan Posada Torres

student•

La Seguridad como Factor de Negocio

En el entorno empresarial actual, la seguridad ya no se percibe únicamente como un gasto o una barrera, sino como un factor estratégico que impulsa el éxito del negocio. Las organizaciones que integran la seguridad en sus operaciones, procesos y cultura logran una ventaja competitiva al proteger sus activos, datos y la confianza de sus clientes. Este enfoque permite una respuesta rápida ante amenazas cibernéticas, reduce el impacto de posibles incidentes y asegura la continuidad del negocio.

Invertir en seguridad fortalece la reputación de la empresa y demuestra un compromiso con la protección de información sensible, lo cual es fundamental para mantener relaciones comerciales saludables. Además, una estrategia de seguridad bien implementada permite a las empresas cumplir con normativas y regulaciones, evitando sanciones legales y mejorando la eficiencia operativa.

MARIA TERESA PANIAGUA RIVERA

student•

gracias

Francisco Marín

student•

TRIADAS CIA

Seguridad de la Información: Implementación y Estrategia Empresarial

Importancia de la seguridad de la información

Implementación de un Programa de Seguridad de la Información

Seguridad de la Información: Implementación y Estrategia Empresarial

Componentes clave de un programa de seguridad de la información

Componentes Clave de un Programa de Seguridad de la Información

Elementos Clave de Políticas de Seguridad de la Información

Gestión de Incidentes: Ciclo de Vida y Mejores Prácticas

Gestión de Vulnerabilidades en Seguridad Informática

Gestión de riesgos

Gestión de Riesgos en Seguridad de la Información

Gestión Holística del Riesgo en Organizaciones

Evaluación de Riesgos en Seguridad de la Información

Gestión de Riesgos y Controles ISO 27001 y NIST 800-53

Continuidad del negocio

Continuidad del Negocio y Recuperación ante Desastres

Análisis de Impacto al Negocio y Continuidad Operativa

Software seguro

Desarrollo Seguro de Software: Integración de Seguridad en el Ciclo de Vida

Proyectos de OWASP para Seguridad en Desarrollo de Software

OWASP Top 10: Riesgos Críticos en Aplicaciones Web y Móviles

Modelo de Madurez OWASP SAM para Aseguramiento de Software Seguro

Diseño del equipo

Roles Clave en un Programa de Seguridad de la Información

Certificaciones Clave en Seguridad de la Información

Caso de estudio Platzi

Certificación ISO 27001: Implementación y Mejora Continua en Platzi