Identificación y Gestión de Riesgos en Activos de Información

Clase 5 de 25 • Curso de DLP: Prevención de Pérdida de Datos

Contenido del curso

Reconoce el valor de los datos como componente esencial de los negocios digitales

Utiliza los conceptos básicos de gestión de riesgos de seguridad digital para prevenir la pérdida y/o filtración tus datos

Construye una política de prevención de pérdida de datos para tu organización

Qué hacer en caso de materialización del riesgo

Tomar examen

Resumen

Se debe identificar:

Tipos de Activos
Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo.
Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información.
Riesgos inherentes a la seguridad digital

El riesgo puede ser de dos tipos:

Inherente: Es aquel propio del negocio
Residual: Es el que tú tienes la capacidad de soportar

Gestión de Riesgos de Seguridad:

Valoración de los riesgos inherentes a la seguridad
Valoración de la probabilidad de ocurrencia: Qué tan probable es que ese riesgos se materialice.
Valoración del impacto: Qué tanto impacto puede tener que se materialice ese riesgo.
Identificación de la Zona de Riesgo
Definición de controles
5.1 Definición de Controles específicos para prevenir la pérdida de datos
Calificación y Evaluación de Controles
Gestión y Tratamiento del Riesgo
Seguimiento

Comentarios

Eyner Jorge Eduar Córdova Plasencia

student•

¿Qué son los riesgos digitales? Cómo identificarlos y tratarlos

Identificar riesgos digitales:

Tipo de Activos: Determinar esto nos permite saber el nivel de importancia del activo de información. Dependiendo si afecta a la disponibilidad, integridad o disponibilidad se califica como sensible o no sensible
1. Sensible
2. No sensible
Amenazas: Factor externo que otra persona o entidad puede explotar para generarme un riesgo para perder datos.
Vulnerabilidades: Factores internos que pueden exponerme para perder datos o activos de información.
1. Riesgos inherentes a la seguridad digital: Puede ser de dos tipos
  1. Inherente: Problemas inherentes de cada negocio
  2. Residual: Lo que cada uno puede soportar
2. Valoración de impacto: Que tanto impacto tendría la materialización de este riesgo.
3. Valoración de la probabilidad de ocurrencia: Qué tan probable que este riesgo de seguridad se materialice
Definición de controles
1. Definición de controles específicos para prevenir pérdida de datos
  1. Controles en la recolección
  2. Controles en el flujo de la información
  3. Controles en el alojamiento y disposición
Calificar y evaluar controles: Mantener un sistema de auditorías para poder mantener evaluando las formas de controlar los riesgos de perdida de datos
Gestión y tratamiento del riesgo
Seguimiento: Siempre debemos estar dando seguimiento a las formas de seguridad de los datos

Elmer Padilla Espinoza

student•

Gracias Eyner por el resumen.

Juan Pablo Perez

student•

Gracias compañero muy buen resumen.

José Antonio Ruiz Cruz

student•

Hola compañeros, les dejo un enlace donde podrán encontrar más información de la norma ISO 31000. Espero les sea útil.

https://www.isotools.org/pdfs-pro/ebook-iso-31000-gestion-riesgos-organizaciones.pdf

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Helian Sebastian Jiménez Jiménez

student•

gracias

Sergio Barboza

student•

Esto basicamente es la implantacion de un SGSI (Sistema de Gestion de Seguridad de la Información) basado en la norma ISO27001 en la que se incluyen sus 114 controles, evidentemente esta explicacion es mucho mas practica y aplicable.

Juan Carlos Mejía Martínez

student•

Una **vulnerabilidad **(en términos de informática) es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información. Es un factor interno.
Una **amenaza ** es toda acción que aprovecha la vulnerabilidad para atentar contra la seguridad de un sistema de información. Desde el punto de vista de una organización pueden ser tanto internas como externas

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Malid Adrian Pedreañez

student•

Riesgo residual: Es aquel riesgo que subsiste, después de haber implementado controles.

Carlos Nassif Trejo Garcia

student•

Identificar riesgos ISO 3101 Tipo de activo Amenazas Vulnerabilidades Riesgo Probabilidad de ocurrencia Valoración de impacto Identificar zona de riesgo Sensible / No sensible Factor externo Factor interno Inherente (propio del negocio) / Residual (el que se puede evitar) Catastrófico - Intermedio - Insignificante
Identificar controles DLP: Controles especificos para prevenir la perdida de datos
- Recolección
- Flujo de la información
- Alojamiento y disposición
Pasos:
- Identificar controles
- Clasificar y evaluar controles
- Gestión y tratamiento del riesgo

Seguimiento

Karla Itzel Sámano Galván

student•

Un aporte :D Identificación de activos . . .

Gestión de riesgos . . . . .

Sebastian Carvajal

student•

Muy buen aporte, gracias!

Roberto Villate Morales

student•

Excelente explicación para empezar a coger un poco de la perspectiva que debemos de tener para empezar a localizar posibles riesgos de seguridad en nuestras organizaciones o empresas.

Jorge Francisco Onasis Ramos Nava

student•

Mis Notas - Riesgos digitales

Se debe identificar: 1.- Tipos de Activos 2.- Amenazas: Es un factor externo, aquello que otra persona puede explotar para ocasionar un riesgo. 3.- Vulnerabilidades: Son los factores internos. Eso que me expone a mi, que alguien puede explotar y llevar a la pérdida de información. 4.- Riesgos inherentes a la seguridad digital

El riesgo puede ser de dos tipos:

Inherente: Es aquel propio del negocio.
Residual: Es el que tú tienes la capacidad de soportar.

Gestión de Riesgos de Seguridad: 1.- Valoración de los riesgos inherentes a la seguridad. 2.- Valoración de la probabilidad de ocurrencia: Qué tan probable es que ese riesgos se materialice. 3.- Valoración del impacto: Qué tanto impacto puede tener que se materialice ese riesgo. 4.- Identificación de la Zona de Riesgo. 5.- Definición de controles. 5.1.- Definición de Controles específicos para prevenir la pérdida de datos. 5.1.1.- Control en la recolección. 5.1.2.- Controles en el flujo de la información. 5.1.3.- Controles en el alojamiento y disposición. 6.- Calificación y Evaluación de Controles. 7.- Gestión y Tratamiento del Riesgo. 8.- Seguimiento.

Limhi Abraham Soriano Gómez

student•

Como se le llamaría al riesgo que no soy capas de soportar?

Elias Mercado

student•

Miedo

RICARDO SUAREZ

student•

Mmmm te refieres al Inherente, ese no lo podrias controlar ya que esta relacionado directamente con el giro/objetivo del negocio

Jefferson Pacheco Suárez

student•

Gestión de riesgos de seguridad

Valoración de los riesgos inherentes a la seguridad.
Valoración de la probabilidad de ocurrencia. → ¿Qué tan probable es que este riesgo se materialice?
Valoración del impacto. → ¿Qué tanto impacto es soportable para tu compañía? Catastrófico, intermedio, poco probable o improbable.
Identificación de la zona de riesgo. → Establecer qué riesgos debo controlar y mitigar para prevenir su aparición o, en caso de materializarse un ataque, que me permita la continuidad de mi negocio.
Definición de controles
1. Definición de controles específicos para la DLP:
  1. Controles de recolección.
  2. Controles en el flujo de la información.
  3. Controles en el alojamiento y disposición.
Calificar y evaluación de controles. → ¿Están funcionando los controles y cómo? - Plan de auditorías externas e internas.
Gestión y tratamiento de riesgo. → Si hay oportunidades de mejora o acciones correctivas debes entonces desarrollar e implementar las medidas para corregir y robustecer los sistemas de seguridad.
Seguimiento. → Este proceso nunca termina, así que siempre se requiere de la iteración, la constante revisión, evaluación y toma de acciones.

![](

Jonathan Steven Cardozo Toro

student•

El riesgo inherente es propio del trabajo o proceso, que no puede ser eliminado del sistema; es decir, en todo trabajo o proceso se encontrarán riesgos para las personas o para la ejecución de la actividad en sí misma. Algunos ejemplos: Transporte: Choques, colisiones, volcamiento Metal-mecánica: Quemaduras, golpes Minería: Derrumbes, explosiones, caídas, atrapamiento, asfixia

El riesgo residual (dejar como http para acceder al PDF) es el nivel de riesgo existente después de la implantación de medidas de seguridad, es decir, que a pesar de tener información del riesgo, conocer sus peligros y tomar medidas de seguridad para ello, aún existe la exposición a dicho riesgo o peligro el cual se deberá asumir y obviamente vigilar. Otra definición que se puede encontrar según la NTC 5254 es el “nivel resultante de riesgo después de que se han tomado medidas de tratamiento de riesgo”. Según la ISO 2001 Clausula 4.2.1.h / I:”Obtener la aprobación de la dirección de la organización para el riesgo residual propuesto y para implementar y mantener el SGSI” Según ello, la dirección de una organización deberá aceptar el riesgo residual y deberá ser tenido en cuanta si llegase a existir un incidente de seguridad.

Los riesgos no son calculables matemáticamente debido a que es el resultado de algo que no se objetivar.

Sebastian Marin

student•

Debemos guiarnos por la norma ISO 31001

Victor Emilio Mendoza Andrade

student•

En la fase de monitoreo implementar plan de Auditoria Interna o externa para garantizar que los controles que se estan llevando son los correcto.

Miguel Angel Ramirez

student•

Gracias! muy interesante curso.

Álvaro Javier Hernández bedoya

student•

va como rapido el curso

Kevin Morales

student•

Recuerda que puedes tomar las clases las veces que sean necesarias hasta entender todo muy bien. No hay prisa :)

Juan Guillermo Perez Cardozo

student•

Gracias profesor, ya hice mi tabla para identificar activos con sus amenazas, vulnerabilidad probabilidad, impacto etc

Santiago Botero Ruiz

student•

¿Qué son los riesgos dígitales? ¿Cómo identificarlos y tratarlos?

Se debe identificar el tipo de activos, amenazas, vulnerabilidades, riesgos inherentes a la seguridad digital.

Para identificar el tipo de activos, se debe analizar si un activo tiene afectación que llega a causar afectación a la disponibilidad éste activo se vuelve un activo sensible.

Para identificar las amenazas se debe analizar que posibles afectaciones se pueden presentar a nivel externo.

Para identificar las amenazas se debe analizar que posibles afectaciones se pueden presentar a nivel interno.

Santiago Restrepo

student•

El rango de improbable a catastròfico se encargará de decirnos que controles tomar, a qué medidas debemos recurrir y qué tanto nos va a afectar.

David Carrasquilla

student•

Importante saber identificar la diferencia entre Amenaza y Vulnerabilidad.

Amenaza: Normalmente se habla de amenaza cuando nos referimos a factores de riesgo externos, que nos pongan en una situación de riesgo.

Vulnerabilidad: Nos habla de factores internos. Falta de controles o de gestión adecuada que alguien podría eventualmente explotar.

A partir de estos dos factores se debe determinar el nivel de riesgo y estos se clasifican en Inherentes y Residuales.

Seguidamente valorar la probabilidad de ocurrencia y de impacto.

Definir la zona de riesgo, para saber gestionar el riesgo.

Por último definición de controles, que en otras palabras es si vamos a invertir en personal y equipo para gestionarlos nosotros o vamos a invertir en un tercero para gestionarlos en algún cloud.

Identificación y Gestión de Riesgos en Activos de Información

Reconoce el valor de los datos como componente esencial de los negocios digitales

Técnicas de Prevención de Pérdida de Datos para Emprendedores Digitales

Gestión Estratégica de Riesgos de Seguridad en Empresas

Gestión de Riesgos de Seguridad: Planificación y Controles Efectivos

Gestión de Activos de Información y Seguridad Empresarial