Gestión de Riesgos de Seguridad: Planificación y Controles Efectivos

Clase 3 de 25 • Curso de DLP: Prevención de Pérdida de Datos

Contenido del curso

Reconoce el valor de los datos como componente esencial de los negocios digitales

Utiliza los conceptos básicos de gestión de riesgos de seguridad digital para prevenir la pérdida y/o filtración tus datos

Construye una política de prevención de pérdida de datos para tu organización

Qué hacer en caso de materialización del riesgo

Resumen

La planeación y el compromiso interno es algo fundamental a la hora de nuestro proceso de gestión de riesgos de seguridad. Luego de eso pasaremos a identificar cuáles son los activos de información, los datos que estas administrando y cómo fluyen dentro de la información.

Después pasamos a identificar los riesgos, amenazas o vulnerabilidades. Qué deberías hacer cuando se presenta una eventualidad. Después identificamos qué controles o medidas puedes usar para garantizar la no pérdida de la información.

Por último vas a tener que monitorear y evaluar esos controles. De nada sirve tener copias de seguridad sin poder restaurarlas correctamente y el riesgo de pérdida de información será muy menor.

Planeación e Iniciación

Análisis de contexto
Identificación de Actores Internos y Externos
Compromiso de la Alta Dirección

Comentarios

Eyner Jorge Eduar Córdova Plasencia

student•

Iniciación: Planeación y Compromiso Interno para adelantar un proceso de Gestión de Riesgos de Seguridad

Gestión de riesgos de seguridad - Momentos

Planeacion y compromiso interno: Fundamental pues debemos incorporar seguridad. Debemos mantener un compromiso alto para que este proceso sea exitoso. Si la alta dirección no se encuentra involucrada, algo no está bien.

Identificacion de Activos de información: Información que se está usando, la que tenemos y como está fluyendo dentro de la organización. Cada activo y cada flujo de información tendrá un control diferencial.

Identificacion de riesgos, amenazas y/o vulnerabilidades: Identificar riesgos y amenazas que pueden afectar estos activos. Qué hacer ante eventualidades.

Identificacion de controles, indidentes a incidentes: Identificar que controles ante un eventual hecho, garantizar que no perderemos la información.

Ejecución - Monitoreo y Evaluación: Realizar los controles, monitorear, evaluar nuestros procesos que estamos realizando para mantener esta seguridad.

Diego Fernando Ramos Aguirre

student•

Gracias por los apuntes.

Erick Alejandro Carrillo López

student•

gracias por tus apuntes bro

Jesus Emmanuel Ortiz Luna

student•

Un aire acondicionado de un server room falló h empezó a tirar agua en el Rack server...mojo servidor, libreria de respaldos y storage, gracias a nuestro plan de contingencia nos recuperamos, contemplen también esos detalles ;)

Hugo José Pérez Sierra

student•

Eso se denomina "seguridad física" y efectivamente es parte de un plan de seguridad. Los accesos, los muros, posibles daños de agua, fuego o catastrofes naturales han de ser contempladas en su justo grado por el riesgo en que puedan producirse

Karla Itzel Sámano Galván

student•

Dejo mi aporte :D Ciclo: . .

Planeación: . . . .

Jorge Francisco Onasis Ramos Nava

student•

Mis Notas - Iniciación: Planeación y compromiso interno para adelantar un proceso de Gestión de Riesgos de Seguridad

1.- La planeación y el compromiso interno es algo fundamental a la hora de nuestro proceso de gestión de riesgos de seguridad. 2.- Identificar cuáles son los activos de información, los datos que estas administrando y cómo fluyen dentro de la información. 3.- Identificar los riesgos, amenazas o vulnerabilidades. 4.- Identificamos qué controles o medidas puedes usar para garantizar la no pérdida de la información. 5.- Monitorear y evaluar esos controles. . Planeación e Iniciación:

Análisis de contexto.
Identificación de Actores Internos y Externos.
Compromiso de la Alta Dirección.

Elmer Padilla Espinoza

student•

Gracias Jorge por los apuntes.

Miguel Angel Reyes Moreno

student•

Iniciación: Planeación y Compromiso Interno para adelantar un proceso de Gestión de Riesgos de Seguridad

Este es un proceso cíclico, no puede ser estático.

Planeación y compromiso interno -> Esto es fundamental
Identificación de activos de información -> ¿Qué datos utilizas en tu empresa?
Identificación de riesgos, amenazas y/o vulnerabilidades -> Rie gos y amenazas siempre nos pueden ocurrir. Desde inundaciones, has ta daños eléctricos e incendios.
Identificación de controles, incidentes a incidentes -> Recuerd a la triada de la información
Ejecución - Monitoreo y evaluación -> Pon a prueba todo esto

Recuerda:

Análisis de contexto (Estudio del Negocio)
Identificación de Actores Internos y Externos
Comprimiso de Alta Dirección

Javier Ramos

student•

OK la base sobre la que trabajaremos en este curso es

la Disponibilidad, Confidencialidad e Integridad de la información

y la prevención de pérdida de datos a partir de la Gestión de riesgos de seguridad digital, por medio de un ciclo Iterativo y recilente

que consta de

PLANEACIÓN
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN
IDENTIFICACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES
IDENTIFICACIÓN DE CONTROLES (incidente a incidente)
EJECUCIÓN MONITOREO Y EVALUACIÓN

Gabriel Díaz H

student•

Por lo que veo este curso tiene mucho relacionado al de ISO 27001

Carlos Nassif Trejo Garcia

student•

Proceso de gestión de riegos de seguridad 1. Planeación y compromiso interno 2. Identificar activos de información 3. Identificar riesgos, amenazas y vulnerabilidades 4. Identificar controles, incidentes a incidentes 5. Ejecución, monitoreo y evaluación

Planeación e indicación
- Análisis de contexto
- Identificar actores
- Compromisos de alta dirección

Leonardo Ramos Soto

student•

excelente curso

Victor Emilio Mendoza Andrade

student•

Luego de planear,analizar e identificar cuales son los activos más valiosos, se debe constituir un acta o un reglamento interno que forme parte de toda la infraestructura de la empresa.

Santiago Restrepo

student•

Con respecto a los procesos a realizar:

deben ser iterativos y resilientes.

iterativos con un significado de que se deben incorporar, evolucionar, hacer crecer, actualizar nuevos controles.

y resilientes ya que en caso de una falla o un peligro se debe aprender de este y no quedarse en el mismo.

Fernando Evelio Rivera Flores

student•

Prevencion de Perdida de Datos a partir de la Gestion de Riesgos de Seguridad Informatica Hacer la Planeacion, Analizar el contexto y entender com se va a desarrollar el modelo de negocios se deben de identificar cuales son los activos de la informacion, para luego identificar los riesgos y amenazas que pueden afectar dichos activos.

Luis Enrique Rodríguez Pérez

student•

En resumen debemos identificar nuestros activos de información, identificar los riesgos y amenazas que puedan ocurrir por una falla, suceso como un terremoto o un apagón de luz, un ataque físico o cibernético a nuestros activos de información. Tener identificados los controles de seguridad correspondiente a cada activo de información para asegurar la confidencialidad , integridad y disponibilidad de la información.
Por ejemplo: Implementar un segundo servidor o medio de almacenamiento para respaldar la información cada semana o cada 3 horas, en caso de un ataque de ransomware tener ya tu respaldo de información para restaurar los últimos archivos y cambio realizados antes del ataque.

Juan Guillermo Perez Cardozo

student•

CIA , en todo lo que tiene que ver con seguridad informática allí esta

Santiago Botero Ruiz

student•

Prevención de pérdida de datos es un proceso de control en donde todos los miembros de la empresa deben de estar enterados sobre los procesos que se deben de seguir para mantener una buena seguridad de la información. Tenemos que tener en cuenta cuales son los activos de información, para así poder identificar los riesgos, amenazas y/o vulnerabilidades, para así poder garantizar que la información no se pierda a pesar que pase alguna de dichas eventualidades. Para poder disminuir los riesgos de perdida de información es necesario evaluar la calidad de las acciones que estamos haciendo para garantizar la seguridad informática.

David Carrasquilla

student•

++Buena clase del Proceso de gestión de riesgos de seguridad.++

En resumen lo mas importante debe ser el compromiso de los colaboradores a todo nivel de la escalera corporativa. Una vez este punto adquiere bases solidas podemos avanzar a los siguientes:

. Inventario de activos
. Estudio de riesgos y amenazas
. Plan de controles y medidas a implementar en caso de materializarse los riesgos y amenazas.
. Monitoreo 
. Probar que los controles funcionen regularmente.

Sebastian Camilo Herrera Lopez

student•

Implementar una buena planeacion en la organizacion es el primer pilar de un buen flujo de robustes y seguridad del negocio.

Luis Alvarez

student•

Un analista de cumplimiento debe custodiar la gestión de riesgos de seguridad siguiendo un enfoque cíclico. Esto implica identificar y clasificar los activos de información, evaluar los riesgos asociados, implementar controles adecuados y monitorear su efectividad. Además, es crucial involucrar al capital humano y a la alta dirección en el proceso para garantizar una cultura de seguridad. Las medidas deben ser revisadas y adaptadas continuamente para responder a nuevas amenazas y asegurar la confidencialidad, integridad y disponibilidad de la información.

Luis Alvarez

student•

La planificación de la gestión de riesgos de seguridad no solo recae en el CISO (Chief Information Security Officer), sino que debe ser un esfuerzo colaborativo. Es esencial que el equipo de tecnología de la información, los gerentes de operaciones, y todos los niveles de la alta dirección estén involucrados. Además, el capital humano, incluyendo a todos los empleados, debe estar capacitado para entender y aplicar los controles de seguridad necesarios. Esto asegura que la seguridad sea parte integral de la cultura organizacional y del modelo de negocio.

Luis Alvarez

student•

La norma ISO 31000 se centra en la gestión de riesgos en general, proporcionando un marco para identificar, evaluar y tratar riesgos. Por otro lado, DLP (Data Loss Prevention) es una estrategia específica para prevenir la pérdida de datos sensibles. La ISO 31000 puede integrar DLP como parte de su gestión de riesgos de seguridad, ayudando a las organizaciones a establecer controles y medidas para proteger datos críticos. Implementar DLP dentro del marco de la ISO 31000 permite a las empresas mitigar riesgos asociados a la información y asegurar la continuidad del negocio.

. Inventario de activos
. Estudio de riesgos y amenazas
. Plan de controles y medidas a implementar en caso de materializarse los riesgos y amenazas.
. Monitoreo 
. Probar que los controles funcionen regularmente.

Gestión de Riesgos de Seguridad: Planificación y Controles Efectivos

Reconoce el valor de los datos como componente esencial de los negocios digitales

Técnicas de Prevención de Pérdida de Datos para Emprendedores Digitales

Gestión Estratégica de Riesgos de Seguridad en Empresas