Análisis de Vulnerabilidades y Gestión de Riesgos de Seguridad Informática

Clase 15 de 25 • Curso de DLP: Prevención de Pérdida de Datos

Contenido del curso

Reconoce el valor de los datos como componente esencial de los negocios digitales

Utiliza los conceptos básicos de gestión de riesgos de seguridad digital para prevenir la pérdida y/o filtración tus datos

Construye una política de prevención de pérdida de datos para tu organización

Qué hacer en caso de materialización del riesgo

Tomar examen

Resumen

Fase 3: Construcción

Identifica tus potenciales amenazas y vulnerabilidades. Vulnerabilidades son ciertos componentes internos que pueden llegar a afectar la seguridad de la información y Amenaza es lo externo que puede venir a impactar en nuestro negocio. 2 Define y valora los riesgos inherentes a la seguridad digital. Son esos propios del negocios.
Identifica y evalúa los controles de seguridad que vas a implementar

Comentarios

Luis Rodrigo Alvarez Herrera

student•

Esto es necesario, pero es muy aburrido, pero comodije es necesario, si no son mas problemas despues

Mauricio Osorio Reyes

student•

Me parece que este curso y el de la norma ISO-27001 son más enfocados al blue team, y todo lo de hacking ético y pentesting esta más orientado al red team por lo que creo que pasar a practicas de red team te resultara más divertido.

नहीं मैं मौजूद हूँ

student•

Si, me siento tentado a irme a la parte de practicas pero realmente esto es necesario y nos será de ayuda a la hora de hacer auditorias.

Mauricio Osorio Reyes

student•

++Resumen: Identificación y valoración de los riesgos inherentes y residuales asociados a su actividad. ++

++Fase 3: Construcción++

++1.-Identifica tus potenciales amenazas y vulnerabilidades++: Vulnerabilidades son ciertos componentes internos que pueden llegar a afectar la seguridad de la información y Amenaza es lo externo que puede venir a impactar en nuestro negocio.

++2.-Define y valora los riesgos inherentes a la seguridad digital: ++ Son esos propios del negocios.

++3.-Identifica y evalúa los controles de seguridad que vas a implementar++

++Para realizar la matriz debemos:++

Saber que tan probable es que ocurran los riesgos
Medir el impacto puede llegar a ocurrir si se presenta ese riesgo
Valorarlo en un mapa de calor para saber que tipo de control y que categoría tiene el riesgo.

Emmanuel Martínez

student•

Excelente

Andres Felipe Zabala velez

student•

Gracias

DANIEL TENOCH SANCHEZ GARCIA

student•

Para obtener el Nivel de riesgo

Nivel de riesgo = IMPACTO X PROBABILIDAD

NR = 4 X 3 = 12

Para identificarlo en el mapa de calor Riskasd3.PNG

R1:Modifiación de las bases de datos sin autorización

Luis Rodrigo Alvarez Herrera

student•

que pasa con por ejemplo contraseñas que usan los administradores de sistemas, en mis trabajos me he topado de todo, quienes solamente tiene el password en su cabeza, otros en un XLS otros en notitas en el monitor y otros en software

Israel Arias Naranjo

student•

En ese caso, las personas tienen información privilegiada. Lo cual es un riesgo en caso de "fuga". Para eso se tienen que gestionar y crear los contratos de confidencialidad, para que la información sensible a la empresa no sea divulgada o expuesta a otra empresa.

Santiago Restrepo

student•

Es muy interesante como se valora el nivel del riesgo tan ordenada y gráficamente. El mapa de calor... una herramienta muy útil.

Sebastian Camilo Herrera Lopez

student•

Es muy nescesario la aplicacion de estas fases en la identificcion de informacion.

Jose Luis Yachas Carbajal

student•

Excelentes ejemplos, una ejemplar matriz

Miguel Angel Ramirez

student•

muy util la matriz

Juan Guillermo Perez Cardozo

student•

Pregunta cómo se maneja el tipo de activo persona. Ni idea como o porque debe ir en la matriz

Luis Rodrigo Alvarez Herrera

student•

pero se habla de informacion no de personas, o a que te refieres??

Ismael Méndez Suárez

student•

En tipo de activo como persona, viendolo de un lado estretegico a mi parecer es importante considerar el comportamiento humano, siendo el tipo como información.

Debido a que el individuo puede conocer información externa u interna de la organización la cual puede ser/no ser sensible.

Por ejemplo:

..Tipo de activo | Descripcion de Activo ....Informacion... | Credenciales de acceso,Acceso a Hardware

Ahora bien, suponiendo que conocemos bien a nuestro personal, pensariamos que no hay problema alguno.

Pero que pasaría si a nuestro personal, se les realiza un ataque en ingenieria social, por ejemplo tenemos un administrador, al que le confiamos todas las credenciales y un dia alguien hace robo de identidad de los dueños, y le pide las credenciales, si no se lleva un protocolo adecuado, es posible que se las otorguen, y de esta forma nos veriamos amenazados y vulnerados, pero por nuestro propio personal.

O de otra forma. nuestro mismo administrador le gusta Pokemon, y le llega un correo electronico con el Titulo de Descuentos Pokemon 90% junto a un enlace, es posible que sea tentado a dar click al enlance y nuevamente sea comprometida nuestra informacion mediante hijacking del ordenador del administrador, para es eso, es importante tomar en cuenta el comportamiento del ser humano, y tomar control a dichas causas.

Esta es mi respuesta, espero te ayude! Saludos!

Daniel OT

student•

Mucho de lo que veo hasta ahora recuerdo haberlo visto en el curso de ISO27001, hay algo que sea diferente en este curso?

Cristian Nicolás Acuña

student•

Sin la matriz entender a profundidad estos temas seria muy complicado, esa herramienta facilita mucho la construcción de una política DLP sin saltarse ningún paso.

Alma Ortiz

student•

Este tema viene mejor explicado en el curso de preparación para la certificación en la norma ISO 27001.

Andrés Felipe Carreño

student•

Hay que evitar que esos datos se pierden, se filtren o no se puedan recuperar. Por esa razón, se crea una política para mitigar los posibles riesgos.

Brandon Nicolas Morales

student•

Vulnerabilidad: Aquel componente interno que puede llegar a comprometer o afectar la seguridad de nuestra información. Amenaza: Componente externo que puede impactar nuestra organización.

ALVARO RODRIGUEZ TAMEZ

student•

Muy buen ejercicio, me aclaro muchas dudas.

Teo Quezada

student•

Excelente contenido.

Victor Riaño De la Ossa

student•

recuerden que esta es una metodología de riesgos propuesta, pero cada empresa debe desarrollar la suya propia. También existen metodologías ampliamente aceptadas como MAGERIT.

Julio Pacheco

student•

Un riesgo residual es el nivel de riesgo que queda después de aplicar controles o mitigaciones. Para identificarlo, se deben seguir estos pasos:

Evaluar el riesgo inherente: Establece el nivel de riesgo antes de la implementación de controles.
Implementar controles: Aplica medidas de seguridad para reducir el riesgo.
Reevaluar: Analiza el riesgo nuevamente después de aplicar los controles.

La diferencia entre el riesgo inherente y el riesgo residual es clave para construir una política de prevención de pérdida de datos efectiva.

Julio César Marin Ibarra

student•

hola esa matriz de prueba dónde la podemos descargar?

Alejandro sierra

student•

Fase 3: Construcción

1 Identifica tus potenciales amenazas y vulnerabilidades. Vulnerabilidades son ciertos componentes internos que pueden llegar a afectar la seguridad de la información y Amenaza es lo externo que puede venir a impactar en nuestro negocio.

2 Define y valora los riesgos inherentes a la seguridad digital. Son esos propios del negocios. Identifica y evalúa los controles de seguridad que vas a implementar

Análisis de Vulnerabilidades y Gestión de Riesgos de Seguridad Informática

Reconoce el valor de los datos como componente esencial de los negocios digitales

Técnicas de Prevención de Pérdida de Datos para Emprendedores Digitales

Gestión Estratégica de Riesgos de Seguridad en Empresas

Gestión de Riesgos de Seguridad: Planificación y Controles Efectivos

Gestión de Activos de Información y Seguridad Empresarial

Identificación y Gestión de Riesgos en Activos de Información

Política Estratégica de Prevención de Pérdida de Datos

Utiliza los conceptos básicos de gestión de riesgos de seguridad digital para prevenir la pérdida y/o filtración tus datos

Reglamento Europeo y Ley de Privacidad de California: Impacto Global

Reglamento Europeo de Protección de Datos: Cumplimiento y Buenas Prácticas

Roles y Responsabilidades en Protección de Datos Empresariales

Gestión de Riesgos de Seguridad de la Información

Gestión de Riesgos de Seguridad en Negocios Digitales

GDPR y CCPA: Normas Clave para Negocios Digitales

Construye una política de prevención de pérdida de datos para tu organización

Política de Prevención de Pérdida de Datos en Negocios Digitales

Evaluación de Impacto de Privacidad según Normativas de Datos

Análisis de Vulnerabilidades y Gestión de Riesgos de Seguridad Informática

Técnicas de Prevención de Pérdida de Datos y Privacidad

Gestión de Riesgos y Controles en Prevención de Pérdida de Datos

Documentación de Gestión de Riesgos y Seguridad de la Información

Qué hacer en caso de materialización del riesgo

Implementación de Controles y Gestión de Riesgos de Seguridad

Gestión de Filtraciones de Datos y Cadena de Custodia Jurídica

Gestión de Riesgos de Seguridad: Resiliencia y Aprendizaje Técnico

Planes de Continuidad y Recuperación ante Riesgos Tecnológicos

Planificación de Copias de Seguridad y Recuperación de Datos

Soluciones de Prevención de Pérdida de Datos (DLP) Empresariales

Gestión de Riesgos de Seguridad y Protección de Datos