Políticas y Estándares Clave en Ciberseguridad

Clase 25 de 26 • Curso de Ciberseguridad y Privacidad para Empresas

Contenido del curso

Introducción a la Ciberseguridad

Comprende y actúa frente amenazas cibernéticas

Buenas prácticas de Ciberseguridad

Ciberseguridad en Empresas

Prevención de riesgos

26
Ciberseguridad: Amenazas y Protección de Datos
00:39 min

Tomar examen

Resumen

Proteger una organización no depende solo de la tecnología, sino de contar con políticas internas sólidas y apoyarse en estándares reconocidos que guíen cada decisión de seguridad. Conocer las diferencias entre marcos como ISO 27001, NIST Cybersecurity Framework, CIS Controls y GDPR permite elegir la combinación adecuada para reducir riesgos y cumplir con la ley.

¿Qué políticas internas fortalecen la ciberseguridad de una organización?

Toda empresa necesita reglas claras que todos los colaboradores deben cumplir. Estas reglas se materializan en políticas de seguridad que cubren áreas críticas del día a día [0:08]:

Control de acceso: define quién puede ingresar a qué sistemas y bajo qué condiciones.
Gestión de contraseñas: obliga a crear contraseñas sofisticadas, dificultando los intentos de hackeo.
Copias de seguridad: establece procedimientos para respaldar la información y recuperarla tras un incidente.

Estas políticas son el primer escudo, pero se potencian cuando se alinean con estándares internacionales que aportan estructura y credibilidad.

¿Por qué ISO 27001 y NIST Framework son referentes en seguridad informática?

La norma ISO 27001 es uno de los estándares más conocidos y respetados a nivel mundial [1:08]. Funciona como un sistema de gestión de seguridad de la información (SGSI) completo: incluye procedimientos, políticas, controles y herramientas que optimizan la protección de datos. Sus beneficios principales son:

Cumplimiento legal: adoptar ISO 27001 cubre requisitos legales en múltiples países.
Protección de información sensible: fuerza a la organización a cumplir con características específicas de resguardo de datos.
Confianza comercial: clientes y proveedores valoran esta certificación; muchas empresas la exigen antes de contratar un servicio [1:48].
Reducción de costos: minimizar el riesgo de un ciberataque evita el impacto económico de sus consecuencias [2:06].

Por otro lado, el NIST Cybersecurity Framework ofrece una estrategia basada en cinco funciones clave [2:18]:

Identificar: conocer todos los sistemas críticos, desde endpoints y dispositivos móviles hasta servidores y firewalls.
Proteger: implementar sistemas de defensa como soluciones antimalware.
Detectar: monitorear la red mediante firewalls, análisis de logs y herramientas que revelen actividad sospechosa.
Responder: contar con la capacidad tecnológica y operativa para actuar frente a un ciberincidente.
Recuperar: tener preparado un plan de respuesta a incidentes que cubra todo lo necesario para restaurar la operación [3:22].

¿Cómo complementan los CIS Controls al framework NIST?

Los CIS Controls, creados por el Center for Internet Security, son controles muy específicos que se aplican de forma física y lógica en los sistemas [3:32]. A diferencia del NIST Framework —que plantea una estrategia global—, los CIS Controls detallan acciones concretas. Ambos marcos se complementan perfectamente.

Un punto distintivo de los CIS Controls es que ofrecen guías de hardenización para sistemas operativos específicos como Windows 10, Windows 11 o Windows Server 2012 [3:58]. Estos documentos indican paso a paso cómo endurecer la configuración de cada sistema para reducir su superficie de ataque.

¿Qué impacto tiene el GDPR en las empresas?

El GDPR (General Data Protection Regulation) es una legislación europea que obliga a las empresas a cumplir estrictas normas de protección de datos [4:16]. Entre sus disposiciones más relevantes destacan:

Plazo de notificación: las organizaciones tienen un máximo de 72 horas para reportar un ciberincidente [4:30].
Multas significativas: British Airways recibió una sanción de 26 millones de dólares tras la filtración de datos de 400 000 clientes [4:40].
Penalización porcentual: la multa puede alcanzar hasta el 4 % de los ingresos anuales globales de la organización. En el caso de Facebook, con ingresos aproximados de 117 000 millones de dólares, la sanción potencial sería de unos 4 680 millones de dólares [5:00].

Estas cifras evidencian que el costo de no cumplir con la normativa puede superar con creces la inversión en ciberseguridad.

Ahora que conoces estos estándares y su impacto, ¿cuál consideras más relevante para tu organización? Comparte tu opinión en los comentarios.

Comentarios

Carlos Montes

student•

Políticas de Ciberseguridad: Implementar políticas internas como control de acceso y gestión de contraseñas fuertes.
Estándares de Ciberseguridad: Adoptar estándares como ISO 27001, NIST Cybersecurity Framework, CIS Controls y GDPR.
ISO 27001: Proporciona un sistema de gestión de ciberseguridad y asegura cumplimiento legal.
NIST Framework: Compuesto por funciones: identificar, proteger, detectar, responder y recuperar.
CIS Controls: Controles específicos para fortalecer la seguridad de sistemas.
GDPR: Regula la protección de datos y establece sanciones por incumplimiento.

Jose Ricardo Dueñas Suarez

student•

gracias

Carlos Buendia

student•

Políticas de Ciberseguridad: Implementar políticas internas como control de acceso y gestión de contraseñas fuertes Y COPIAS DE SEGURIDAD.
Estándares de Ciberseguridad: Adoptar estándares como ISO 27001, NIST Cybersecurity Framework, CIS Controls y GDPR.
ISO 27001: Proporciona un sistema de gestión de ciberseguridad y asegura cumplimiento legal, crean procedimientos, control, beneficios: cumplimiento legal, protección de información sensible, confianza de clientes y socios, reducción de costos.
NIST Framework: Compuesto por funciones: identificar, proteger, detectar, responder y recuperar.
CIS Controls: Controles específicos para fortalecer la seguridad de sistemas, CONJUNTO DIRECTRICES PARA GESTIONAR Y REDUCIR LOS RIESGOS, IDENTIFICA, PROTEGE, DETECTA, RESPONDE Y RECUPERA.
GDPR: Regula la protección de datos y establece sanciones por incumplimiento, ES UNA LEGISLACION EUROPEA, OBLIGACION DE REPORTAR 72 HORAS PARA UN ACCIDENTE, MULTAS HASTA DEL 4% POR NO CUMPLIR NORMA.

Diego Fernando Molina Guzmán

student•

Los estándares de ciberseguridad son marcos y normas reconocidos internacionalmente que guían a las organizaciones en la implementación de medidas de seguridad. Algunos de los más importantes incluyen:

ISO/IEC 27001: Este estándar especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI)
ISO/IEC 27002: Proporciona directrices para las mejores prácticas de gestión de la seguridad de la información.
NIST Cybersecurity Framework: Desarrollado por el Instituto Nacional de Estándares y Tecnología de EE. UU., este marco proporciona un enfoque basado en riesgos para gestionar y reducir los riesgos de ciberseguridad.

Edwin Perafan Grajales

student•

De la teoría a la práctica he identificado que quienes más relevancia le dan a el factor ciberseguridad, son especialmente el equipo de TI y equipo de legal, pues en la base operativa y administrativa baja , estás prácticas pasan desapercibidas e incluso muchas veces incitadas por líderes directos, compartiendo usuarios y contraseñas, y cosas tan básicas como el bloque de tu equipo al pararte de tu puesto de trabajo. que fascinante este mundo de ciberseguridad

Cesar Fabian Lancheros Currea

student•

Implementar los estándares de Ciberseguridad es importante para dar garantía de la continuidad del negocio, entre mas se cumplan mayor grado de madurez como organización

Javier Ramos

student•

La norma GDPR multa a las empresas por no cumplir con sus obligaciones, incluyendo la falta de notificación de un ciberincidente. Si una empresa no reporta un hackeo en un plazo de 72 horas, puede enfrentar multas significativas. Sin embargo, recibir una multa solo por ser víctima de un ciberataque no es automático; depende de si la empresa tomó las medidas adecuadas para proteger los datos y cumplir con la regulación.

Henry Otalora Suavita

student•

2. NIST Cybersecurity Framework (NIST CSF)

Creado por el Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST), ofrece un marco flexible para gestionar y reducir riesgos cibernéticos.

Objetivo:

Identificar, proteger, detectar, responder y recuperarse ante incidentes cibernéticos.

Componentes Principales:

Identify: Conocer activos y riesgos.
Protect: Salvaguardar la infraestructura.
Detect: Monitorear incidentes de seguridad.
Respond: Planificar y ejecutar respuesta.
Recover: Restaurar capacidades tras incidentes.

Beneficios:

Adaptabilidad a cualquier tamaño o sector.
Enfoque pragmático orientado a la gestión del riesgo.
Facilita la comunicación interna y externa sobre seguridad.

Ideal para:

Empresas en EE.UU. o aquellas que buscan un enfoque flexible y centrado en el riesgo.

Henry Otalora Suavita

student•

1. ISO/IEC 27001

Es un estándar internacional que establece los requisitos para implementar un Sistema de Gestión de Seguridad de la Información (SGSI).

Objetivo:

Proteger la confidencialidad, integridad y disponibilidad de la información mediante la gestión sistemática del riesgo.

Componentes Principales:

Política de seguridad.
Gestión de activos de información.
Evaluación y tratamiento del riesgo.
Controles de seguridad documentados en ISO 27002.
Auditorías internas y certificación externa.

Beneficios:

Mejora continua en seguridad.
Confianza y credibilidad ante clientes y socios.
Cumplimiento regulatorio.

Ideal para:

Organizaciones que necesitan demostrar formalmente su seguridad ante terceros (clientes, reguladores).

RODRIGO MOGOLLON HORTUA

student•

La ciberseguridad no se trata solo de herramientas, sino de marcos y estándares que guían la protección integral de la información:

- ISO/IEC 27001 – Gestión de Seguridad de la Información. - NIST Cybersecurity Framework – Identificar, proteger, detectar, responder y recuperar. - GDPR – Protección de datos personales y privacidad. - COBIT – Gobernanza y control en TI. -PCI-DSS – Seguridad en transacciones con tarjetas de pago.

Adoptar estos estándares no solo fortalece la defensa frente a amenazas, también construye confianza y cumplimiento regulatorio en un entorno cada vez más digital.

Maria Janeth Rodas

student•

El principal objetivo de la, también llamada, política de seguridad de la información y ciberseguridad, es garantizar la confidencialidad, integridad y disponibilidad de la información, estableciendo las medidas y controles necesarios para ello.

Myriam Rocio Romero Segura

student•

La importancia de aplicar estos estándares radica justamente en la prevención y el control del riesgo. ES menos costoso prevenir que afrontar una crisis por un ciberataque. También son una guía al momento de su implementación.

Alejandro Romero Romero

student•

Las Politicar, Son reglas y lineamientos que definen cómo proteger la información, los sistemas y los usuarios frente a amenazas digitales, asegurando prácticas seguras y cumplimiento normativo dentro de una organización.

jose david Buitrago Cano

student•

todos los estándares de seguridad básicamente son guías que debemos usar como buenas prácticas para poder proteger la información y resolver incidentes de seguridad en el menos tiempo posible, toda empresa debería implementarlo por dejar a sus clientes con la confianza plena de que su información está a salvo.

Jose Luis López

student•

cuales son las multas en colombia por un ciberataque y quién las impone ?

Monica Patricia Caro Herrera

student•

En colombia en un video anterior él había dicho que está en 550k USD si no estoy mal.

Javier Alvarez

student•

En Colombia, la Fiscalía General de la Nación es la principal entidad encargada de investigar y sancionar los ataques de ciberseguridad, ya que estos se consideran delitos informáticos según la Ley 1273 de 2009. El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), a través de la Agencia Nacional de Seguridad Digital, y en coordinación con organismos como el COLCERT, vela por la protección del Estado y las entidades públicas ante ataques cibernéticos.

Javier Alvarez Tarazona

student•

Comprender y aplicar políticas y estándares de ciberseguridad es crucial para proteger la información y evitar ciberataques costosos. Las políticas internas, como la gestión de contraseñas y copias de seguridad, junto con estándares como ISO 27001, NIST, CIS y GDPR, establecen directrices esenciales para garantizar la seguridad y el cumplimiento legal, fortaleciendo la confianza de clientes y asociados.

Isaías Quintero MARIZANCEN

student•

L a importnacia de estos controles es que cualquie organizacion puede brindar mayor confinaza y credibilidas en la empresa que brida el servicio.

Monica Patricia Caro Herrera

student•

¿Sabes en qué lugar puedo empezar a hacer mi portafolio?

Francisco Daniel Carvajal Becerra

teacher•

¿Portafolio de que cosa? :D

Monica Patricia Caro Herrera

student•

De ciberseguridad.

Políticas y Estándares Clave en Ciberseguridad

Introducción a la Ciberseguridad

Ciberseguridad: Protege tus Datos y Empresa de Ataques Cibernéticos

Fundamentos de Ciberseguridad: Protección de Datos y Continuidad Empresarial

Prevención de Ataques de Ransomware en Organizaciones

Enfoque Cero Trust en Ciberseguridad: Protección sin Confianza Automática

Conciencia en Ciberseguridad: Prevención y Cultura Organizacional

Comprende y actúa frente amenazas cibernéticas

Hackeo de Twitter 2020: Ingeniería social paso a paso

Identificación y Prevención de Ataques de Phishing

Detección de Phishing con Modelos de Lenguaje Grande (LLM)

Prevención y manejo de ataques de ransomware

Riesgos de Deepfakes en Ciberseguridad y Privacidad

Riesgos de Ciberseguridad al Usar Inteligencia Artificial

Configuración de Privacidad en LLMs para Proteger Datos Confidenciales

Seguridad Informática: Protección Contra Amenazas en la Oficina

Buenas prácticas de Ciberseguridad

Actualización de Software: Seguridad y Optimización

Instalación y funcionamiento de un antivirus en Windows

Gestión Segura de Contraseñas y Autenticación en Dos Pasos

Instalación y configuración de Dashlane para gestionar contraseñas

Instalación y Configuración de Dashlane Authenticator

Seguridad en Redes WiFi Públicas: Protección con VPN

Protección de la Privacidad en Redes Sociales y Publicación Segura

Ciberseguridad en Empresas

Protección de Datos Personales y Ciberseguridad Empresarial

Ciclo de vida de la respuesta a ciberincidentes según NIST

Plan de Continuidad del Negocio: Estrategias y Componentes Clave

Simulación de Crisis y Prueba de BCP/DRP con LLMs

Políticas y Estándares Clave en Ciberseguridad

Prevención de riesgos

Ciberseguridad: Amenazas y Protección de Datos