Fases del proceso NIST 800-61 para incidentes

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Bienvenida

1
Ciberseguridad empresarial desde cero
00:53 min

Introducción a la ciberseguridad

Campos de acción de la ciberseguridad

Ciberamenazas

Controles en ciberseguridad

Roles dentro de ciberseguridad

Continúa tu aprendizaje

37
Ciberseguridad para Empresas: Amenazas y Controles Esenciales
00:50 min

Tomar examen

Fases del proceso NIST 800-61 para incidentes

Resumen

La gestión de incidentes de ciberseguridad es el proceso que te permite actuar de forma rápida y efectiva cuando un ciberataque golpea a tu empresa. Si trabajas en seguridad, IT o liderazgo técnico, entender este flujo te ayuda a contener daños, proteger la operación y aprender de cada incidente.

La base más reconocida en la industria es la guía NIST 800-61 Revisión 2, un estándar internacional que organiza la respuesta en cuatro fases claras. Aquí te explico cómo funciona y qué hacer en cada paso.

¿Qué es el NIST 800-61 y por qué es el estándar de referencia?

El NIST 800-61 es la guía para manejo de incidentes de seguridad informática publicada por el National Institute of Standards and Technology. Su revisión 2 es la versión vigente y la más usada por equipos de ciberseguridad alrededor del mundo [01:00].

¿Qué es un incidente de seguridad? Es cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de tus sistemas. Puede ser un ataque activo o algo inusual detectado en la red.

La guía propone cuatro fases para responder ante un incidente: preparación, detección y análisis, contención y recuperación, y actividades post incidente. Cada una tiene procedimientos específicos que conviene documentar.

¿Cómo se prepara una empresa antes de un ciberataque?

La fase de preparación es la base de todo el proceso. Aquí defines los procedimientos, herramientas y responsables que entrarán en acción cuando ocurra un incidente [01:30].

Una preparación sólida incluye:

Documentar políticas y planes de respuesta.
Definir roles y responsables dentro del equipo.
Implementar herramientas de monitoreo como un SIEM.
Capacitar al personal en reconocimiento de amenazas.

Sin esta fase, las siguientes se vuelven caóticas. Es la diferencia entre apagar un incendio con extintor a la mano o salir corriendo a buscar agua.

¿Cómo se detectan y analizan los incidentes de seguridad?

La fase de detección y análisis arranca cuando tus sistemas, como el SIEM, identifican algo inusual en la red o un fallo que puede indicar un ataque en curso [01:50]. Esta fase es la más densa porque incluye varias subetapas críticas.

Identificación del incidente

Aquí determinas qué tipo de incidente está ocurriendo o ya ocurrió, y mides su nivel de gravedad. A veces los ataques se descubren después de haber sucedido, así que la velocidad de identificación marca la diferencia [02:15].

Notificación a los responsables

Reportas el incidente a las personas encargadas para que tomen decisiones informadas. Sin notificación oportuna, nadie puede autorizar los pasos de contención [02:35].

Clasificación y priorización

Clasificas el incidente según su tipo y evalúas cómo puede afectar a la empresa en términos financieros, reputacionales o legales. No todos los incidentes son iguales: un ransomware en producción no tiene la misma prioridad que un intento fallido de phishing [02:55].

¿Por qué clasificar y priorizar incidentes? Porque los recursos del equipo de seguridad son limitados. Priorizar te permite atender primero lo que más impacta al negocio.

¿Cómo se contiene y resuelve un incidente activo?

La fase de contención, resolución y recuperación es donde detienes el ataque, evitas que siga afectando la operación normal e inicias la recuperación al estado funcional de la empresa [03:20].

Las acciones típicas incluyen:

Aislar sistemas comprometidos.
Bloquear accesos maliciosos.
Restaurar servicios desde respaldos.
Validar que la amenaza ya no esté presente.

El objetivo no es solo apagar el fuego, sino devolver la operación a su estado normal sin dejar puertas abiertas para que el atacante regrese.

¿Qué hacer después de cerrar un incidente de ciberseguridad?

La última fase es la de actividades post incidente, donde ocurre el aprendizaje real. Aquí documentas lecciones aprendidas, identificas qué causó el ataque y por qué los controles de seguridad fallaron [03:45].

Este análisis te permite:

Ajustar políticas y procedimientos.
Reforzar controles que fueron evadidos.
Capacitar al equipo con casos reales.
Prevenir que ataques similares vuelvan a ocurrir.

¿Qué son las lecciones aprendidas en ciberseguridad? Son los hallazgos documentados después de un incidente que explican qué falló, por qué falló y cómo evitar que se repita.

Un incidente sin análisis posterior es una oportunidad desperdiciada. Cada ataque, por pequeño que sea, te enseña algo sobre las debilidades reales de tu infraestructura.

¿Tu empresa ya tiene documentado un proceso de gestión de incidentes basado en NIST 800-61? Cuéntame en los comentarios cómo lo manejan en tu equipo.

Comentarios

Juan José Álvarez Pérez

Estudiante

Gestión de incidentes de ciberseguridad

Es el proceso que permite actuar de forma rápida ante un ataque, definiendo acciones a tomar. A modo de referencia, se puede seguir el estándar NIST 800-61r2.

De forma simplificada, dicha guía define los siguientes fases:

Preparación: Definir roles y responsabilidades, definir procedimientos, entrenar al personal, etc.
Detección y análisis: Utilizar los sistemas de control para detectar indicios de un incidente de seguridad.
1. Identificación del incidente y su gravedad.
2. Notificación a los encargados.
3. Clasificación y priorización.
Contención de incidentes: Se detiene el ataque y se intenta retomar la operación normal.
Actividades post-incidente: Investigar la causa del ataque, aprender de el para evitar que vuelva a ocurrir.

Alan Martínez

Estudiante

gracias por el resumen bro!!

Juan Pablo Suaza Alvarez

Estudiante

Gracias por el aporte =)

Alejandro Vargas

Estudiante

++Gestión de Incidentes de Seguridad++

Es un proceso que permite una respuesta efectiva y rápida a ciberataques. Idealmente, existe un plan que documenta una serie de procesos y pasos que se deben realizar en cada fase de la respuesta a un incidente. Se puede utilizar la "Guía de manejo de incidentes de seguridad informática" NIST 800-61r2

Tiene 4 fases:

Preparation
Detection & Analysis
Containment, Eradication & Recovery
Post-Incident Activity

Estimamos las necesidades y establecemos procedimientos
Identificar los signos inusuales que pueden generar dicho incidente. Así como el tipo de incidente y qué tan grave es
Reportamos, notificamos y registramos el incidente
Debemos determinar el tipo de incidente, clasificarlo y así saber que tanto nos puede afectar
Detenemos el ataque y evitar que se propague así como recuperar los datos.
Lecciones aprendidas. Identificamos las causas del incidente, por qué pasó y cómo podemos hacer para que no vuelva a pasar.

Laprovittera Carlos

Estudiante

**NIST 800-61: **

Guía de gestión de incidentes de ciberseguridad La gestión de incidentes es un tema crítico en la ciberseguridad . No es suficiente realizar pruebas de penetración para detectar problemas de manera preventiva o contar con sistemas automatizados de detección y prevención de intrusiones. Además, en caso de incidencia, la organización debe disponer de las herramientas necesarias para gestionarla con éxito. Con este fin, el NIST proporciona esta guía a los equipos de respuesta a incidentes de ciberseguridad , administradores de sistemas, equipos de seguridad, CISO, CIO y otros profesionales relacionados, estructurada en torno a tres temas centrales: planes de respuesta, gestión de incidentes y coordinación.

Planes de respuesta: En este sentido, las pautas del NIST abordan cómo deberían ser las políticas y los planes de respuesta a incidentes. Así como la estructura, personal y servicios de los equipos de respuesta de las organizaciones. Sus recomendaciones en este ámbito son: • Establezca un plan formal de respuesta a incidentes para poder responder de manera rápida y efectiva cuando se violan las defensas cibernéticas. • Diseñe una política de respuesta a incidentes que defina qué eventos se consideran incidentes y cuáles son los roles y responsabilidades de cada equipo e individuo. • Desarrolle un plan de respuesta que tenga una hoja de ruta clara para una implementación exitosa. Debe incluir objetivos y métricas a evaluar. • Desarrollar procedimientos de respuesta a incidentes, con pasos detallados y que cubran toda la fase del proceso. • Políticas y planes de respuesta a incidentes y estructura, personal y servicios del equipo de respuesta. • Estipular procedimientos de intercambio de información relacionada con incidentes. De los medios a las autoridades. • A la hora de establecer el modelo de equipo de respuesta se deben tener en cuenta todas las ventajas y desventajas, así como los recursos y necesidades de la organización. • Es fundamental seleccionar a los profesionales de estos equipos evaluando sus habilidades, conocimientos técnicos, habilidades comunicativas y de pensamiento crítico. Capacitarlos también es fundamental. • Identifique otros grupos dentro de la organización que deberían participar en la gestión de incidentes. Por ejemplo, un equipo de apoyo legal o personal de gestión. • Determine el catálogo de servicios que el equipo debe proporcionar más allá de la respuesta a incidentes. Como el monitoreo de los sistemas de detección de intrusos. O la formación de todo el personal en materia de ciberseguridad.

Administración de incidentes: La guía NIST establece las cuatro fases principales en la gestión de incidentes: preparación; detección y análisis; contención, erradicación y recuperación; y actividad posterior al incidente. Todos estos están fuertemente interrelacionados y la progresión no es meramente lineal, sino circular. Dado que el análisis posterior al incidente es clave para fortalecer la preparación. Los pasos básicos para gestionar y optimizar la detección de incidentes son esenciales en este camino. En cuanto a las recomendaciones realizadas por el instituto, podemos destacar las siguientes: • Disponer de herramientas y software útiles para la gestión de incidencias. • Evaluar recurrentemente los riesgos para prevenirlos. • Identificar signos de incidentes mediante el uso de diversos sistemas de seguridad. • Establecer mecanismos para que los actores externos reporten incidentes a la organización. • Imponer un nivel básico de auditoría de todos los sistemas . Reforzándolo en sistemas críticos. • Perfilado de redes y sistemas, facilita la detección de cambios en patrones e incidencias. • Conocer los comportamientos normales de las redes, sistemas y aplicaciones, para poder detectar fácilmente cualquier otro tipo de comportamiento anómalo. • Cree una política para registrar información de incidentes. Comience a registrar todos los datos tan pronto como sospeche que se ha producido un incidente. Y resguardarlos, ya que incluyen información sensible sobre vulnerabilidades, fallas de seguridad y usuarios. • Correlacione eventos usando varias fuentes para obtener la mayor cantidad de información posible. En este sentido, es importante mantener sincronizada la hora de los hosts. • Emplear una base de conocimiento confiable y consistente de información. • Establecer un mecanismo para priorizar la gestión de incidentes, basado en factores clave como el impacto en la operación de la organización o la probabilidad de recuperación. • Establezca estrategias de contención de incidentes de forma rápida y eficaz.

Coordinación e intercambio de información: La guía del NIST se enfoca en cómo los diferentes equipos dentro de una organización se coordinan para brindar una respuesta coordinada a un incidente. También se centra en las técnicas utilizadas para compartir datos de incidentes. Entre sus recomendaciones podemos destacar: • Planifique previamente la coordinación de incidentes con actores externos, como otros equipos de respuesta a incidentes, autoridades o proveedores de servicios. De esta forma, cada actor conocerá su papel y la comunicación será mucho más eficiente. • Contar con la asesoría permanente del equipo legal, para asegurar que todas las acciones de coordinación se ejecuten en cumplimiento del marco normativo. • Intercambiar información sobre incidentes a lo largo de su ciclo de vida. Desde la preparación hasta la actividad posterior al incidente. • Automatizar el intercambio de información, en la medida de lo posible, para hacerlo más eficiente y menos intensivo en recursos. • Analice con precisión las ventajas y desventajas de compartir información sensible con otros actores. • Compartir la mayor cantidad de información posible con otras organizaciones, siempre teniendo en cuenta los intereses de la organización y razones de seguridad.

Directrices NIST, aseguramiento metodológico y regulatorio: Las directrices del NIST son documentos generalistas que proporcionan una base metodológica sobre la que diseñar, planificar e implementar diversas estrategias o actuaciones en el ámbito de la ciberseguridad. A diferencia de otras guías, su contenido es genérico y por tanto no se puede aplicar directamente a un sistema o aplicación concreta. Más bien, sus recomendaciones, fases y conceptualizaciones sirven para proporcionar a los profesionales un procedimiento estandarizado al cual adherirse. En este sentido, utilizar las directrices del NIST funciona como garantía de las acciones que se ejecutan, convirtiéndose en un requisito a nivel metodológico. Además, en lo que a normativas se refiere, muchas de ellas establecen como requisito que prácticas como los servicios de pentesting estén avalados por una metodología específica como la que ofrecen las directrices del NIST . El cumplimiento de las diversas metodologías NIST por parte de los proveedores de servicios de ciberseguridad mejora la cobertura y facilita el cumplimiento normativo de las organizaciones e instituciones que contratan servicios de ciberseguridad . De esta manera, la gran cantidad de documentación generada por NIST sirve para establecer una base metodológica estándar que es reconocida y utilizada en todo el mundo. Una verdadera guía en la prevención, detección y remediación de vulnerabilidades.

Jonathan Christopher Bertoni Montecinos

Estudiante

Gestión de Incidentes de Ciberseguridad:

El objetivo de la gestión de incidentes de ciberseguridad es minimizar el impacto negativo de un incidente de seguridad en una organización, recuperar rápidamente el servicio y restablecer la confianza en la seguridad de la información. Se pueden utilizar técnicas y herramientas para detectar y responder a incidentes de seguridad informática, y para mejorar la capacidad de una organización para manejar incidentes de seguridad en el futuro.

Diego Fernando Ramos Aguirre

Estudiante

Gracias por el aporte.

Laprovittera Carlos

Estudiante

Directrices NIST: una base metodológica para los analistas de ciberseguridad

El Instituto Nacional de Estándares y Tecnología (NIST) es una organización pública estadounidense dedicada a generar conocimiento, desarrollar recursos y organizar programas de capacitación en múltiples áreas. Desde la química hasta la ciberseguridad. Las pautas y los marcos del NIST se han convertido en estándares globales para la seguridad del software y el hardware que usamos todos los días. El papel del NIST como generador de conocimiento es de gran ayuda para las organizaciones y los analistas de ciberseguridad.

Dilan Bocanegra

Estudiante

Gracias por el aporte

Diego Fernando Ramos Aguirre

Estudiante

Gracias por el aporte.

Alfredo Gómez Delgado

Estudiante

¿podrian compartir esa guia en la sección de recursos? gracias

Diego Ademir Duarte Santana

Profesor

Esta te sirve: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

Laprovittera Carlos

Estudiante

**NIST 800-115: ** Guía técnica para pruebas y evaluación de la seguridad de la información La primera de las directrices del NIST ofrece una base metodológica para diseñar e implementar servicios de pruebas de penetración o pentesting avanzados . Aunque no entra en aspectos técnicos y se queda en un nivel más general, esta guía es imprescindible. Ya que establece las fases de estas metodologías y hace un amplio repaso a las características de las diferentes técnicas que pueden utilizarse para evaluar la seguridad de la información. Funciona así como una guía en el proceso, sobre la cual desarrollar y planificar metodologías específicas que se ajusten a los sistemas a estudiar ya los objetivos establecidos. El documento analiza las diversas técnicas a realizar, así como las fases de una evaluación de la seguridad.

Técnicas de revisión: Estas técnicas son pasivas y consisten en una revisión sistematizada de sistemas, aplicaciones, redes y procedimientos para detectar vulnerabilidades de seguridad. También son esenciales para recopilar información para el desarrollo de técnicas proactivas como las pruebas de penetración avanzadas. Por su propia naturaleza, representan un riesgo mínimo para los sistemas y redes que se analizan. Entre las diversas técnicas de revisión, la guía del NIST destaca: • Revisión de la documentación. Su objetivo es evaluar los detalles técnicos de las políticas y procedimientos mediante el análisis de la documentación disponible. • Revisión de registro. Permite evaluar que los controles de seguridad implementados registran la información de manera adecuada y detallada de acuerdo a las políticas establecidas. • Revisión del conjunto de reglas. Mediante esta técnica se analizan las deficiencias en los controles de seguridad, analizando principalmente reglas de control de acceso y firmas, en dispositivos de red y sistemas IDS/IPS respectivamente. • Revisión de la configuración del sistema. Se evalúa la correcta configuración de las medidas de seguridad en los sistemas (hardening) siguiendo las políticas establecidas. • Escaneo en red. Monitorea el tráfico de red en el segmento local para obtener información. También sirve para verificar el cifrado de las comunicaciones. • Comprobación de integridad de archivos. Se utiliza para detectar posibles manipulaciones de archivos importantes e identificar archivos no deseados, que pueden ser herramientas de los atacantes. Este tipo de característica la ofrecen las soluciones HIDS (Sistemas de detección de intrusos basados en host).

Técnicas de identificación y análisis de objetivos: Con estas técnicas, los analistas de ciberseguridad identifican los dispositivos activos y sus puertos y servicios asociados y los analizan en busca de vulnerabilidades. La información recopilada se utilizará para planificar e implementar técnicas que validen la vulnerabilidad del objetivo, como servicios de pentesting o pruebas de penetración avanzadas. La guía NIST destaca cuatro técnicas de identificación y análisis de objetivos: • Deteccion de redes. Se utiliza para identificar dispositivos en la red, determinar patrones de comunicación entre dispositivos y proporcionar información sobre la arquitectura de la red. Identificación de puertos de red, servicios y detalles del servicio. • Escaneo de vulnerabilidades. Incluye diferentes técnicas para el análisis de vulnerabilidades en sistemas y servicios mediante el uso de herramientas tanto automatizadas como manuales. • Escaneo inalámbrico. Esta técnica identifica dispositivos inalámbricos no autorizados y detecta señales inalámbricas fuera del perímetro de la organización. Además, posibles puertas traseras que pueden ser explotadas por actores malintencionados.

Técnicas de validación de vulnerabilidades de destino: La guía del NIST establece que estas técnicas utilizan la información generada en la identificación y análisis del objetivo para explorar en profundidad la existencia de vulnerabilidades. Estas técnicas permiten demostrar que la vulnerabilidad existe y qué ocurre cuando se explota. Por lo tanto, estas técnicas tienen un mayor impacto potencial en el sistema o red en la que se trabaja que las técnicas anteriores. Dentro de estas técnicas, NIST incluye descifrado de contraseñas y técnicas de ingeniería social como phishing y pruebas de penetración.

Pruebas de penetración: Mientras que los dos primeros se tratan de manera sucinta en la guía, las pruebas de penetración se detallan con mayor profundidad a nivel metodológico. Así, por un lado, establece las fases para el desarrollo y ejecución de este tipo de pruebas: 1. Planificación. Se establecen los protocolos de actuación, se fijan los objetivos y se crean las condiciones técnicas pertinentes para el éxito de la prueba. 2. Descubrimiento. En esta fase, las técnicas comentadas anteriormente son de gran ayuda. Ya que consiste en recopilar toda la información sobre el sistema o red de destino, para descubrir vulnerabilidades a partir de los datos recopilados. 3. Ejecución. Esta es la fase clave del proceso. Dentro de esta fase se ejecutan las siguientes acciones de ataque: ○ Ganando acceso. Incluye la explotación de vulnerabilidades para acceder a los sistemas. ○ Escalar privilegios. Se analizan tanto los privilegios de acceso obtenidos en sistemas comprometidos como las vías para obtener acceso privilegiado como administrador. ○ Movimientos laterales. Se inicia otro proceso de descubrimiento para identificar mecanismos y explotar vulnerabilidades para obtener acceso a sistemas adicionales en la infraestructura. ○ Instalación de herramientas adicionales. Incluye tareas posteriores a la explotación como herramientas para obtener información o mantener la persistencia.

Comunicación y reporte: Esta fase es transversal y se da en paralelo a las demás ya que es fundamental documentar todo el proceso, e informar sobre el avance de las pruebas durante la ejecución. Al final del proceso, se genera un informe que describe las vulnerabilidades identificadas, el procedimiento de explotación, así como el nivel de riesgo asociado y las medidas de mitigación y/o remediación propuestas. Las siguientes son las vulnerabilidades más comunes explotadas como parte de una prueba de penetración según la publicación NIST 800-115 : • Configuraciones incorrectas. • Defectos del núcleo. • Desbordamiento de búfer. • Validación de entrada insuficiente. • Enlaces simbólicos. • Ataques al descriptor de archivo • Condiciones de carrera • Permisos de archivo y directorio incorrectos.

Evaluacion de seguridad: La guía NIST dedica dos secciones a las evaluaciones de seguridad de la información. El primero se centra en la planificación y el segundo en la ejecución. Esta compleja actividad debe tener en cuenta las características de la organización, la cantidad de sistemas y sus especificaciones, y las técnicas a utilizar para realizar el análisis de ciberseguridad. Desde el punto de vista de la planificación, el documento establece como prioridad: • Desarrollar una política de evaluación de la seguridad. • Priorizar y programar las evaluaciones a realizar. • Seleccionar y personalizar técnicas de testing, ajustándolas a las características de la organización y los objetivos marcados. • Determinar los aspectos logísticos de la evaluación. • Desarrollar el plan de evaluación. • Tener en cuenta los aspectos legales. La ejecución de la evaluación de la seguridad se basa en cuatro fases, tal como se define en las directrices del NIST : • Coordinación • Evaluación • Análisis Gestión de datos: recogida, almacenamiento, transmisión y destrucción.

Christian Gómez

Estudiante

Gestión de incidentes de ciberseguridad

Es un proceso que permite una respuesta efectiva y rápida a ciberataques. Idealmente, existe un plan que documenta una serie de procesos y pasos que se deben realizar en cada fase de la respuesta a un incidente.

Estándar

Es una buena práctica es basarse en estándares reconocidos por la industria, el más usado es la “Guía de manejo de incidentes de seguridad informática” NIST 800-61r2 (revisión 2)

¿Cómo responder ante un incidente de seguridad?

Preparación: Estimamos las necesidades y establecemos procedimientos.
Detección y Análisis: Es identificar los signos inusuales que pueden generar dicho incidente.
Identificación: Identificamos qué tipo de incidente fue y ocurrió, que tan grave puede ser.
Notificación: Reportamos, notificamos y registramos el incidente.
Clasificación y priorización: Debemos determinar el tipo de incidente, clasificarlo y así saber qué tan grave es y qué tanto nos puede afectar.
Contención, resolución y recuperación: Detenemos el ataque y evitar que se propague. Resolvemos el incidente. Recuperamos los datos.
Acciones posteriores al cierre: Lecciones aprendidas. Identificamos las causas del incidente, por qué pasó y cómo podemos hacer, para qué no vuelva a pasar.

Juan Velandia

Estudiante

Ahora hay una 3ra revisión del NIST 861:

Guillermo Alomia Monjaraz

Estudiante

Jhon Sebastian Zuluaga Castañeda

Estudiante

La gestión de incidentes de ciberseguridad es el proceso de identificar, responder, y resolver eventos que comprometen la seguridad de sistemas, redes o datos dentro de una organización. Estos incidentes pueden incluir ataques de malware, intentos de acceso no autorizado, violaciones de datos, o cualquier otra actividad que ponga en riesgo la seguridad de la información.

El proceso de gestión de incidentes suele seguir varios pasos clave:

Preparación: Consiste en establecer políticas, procedimientos, y herramientas para responder de manera efectiva a un incidente cuando ocurra. Esto incluye la formación del personal y la implementación de medidas preventivas.
Detección e identificación: En esta etapa, se detecta y se identifica un posible incidente mediante la monitorización continua de sistemas y redes.
Contención: Una vez identificado, el siguiente paso es contener el incidente para limitar su impacto. Esto puede involucrar la desconexión de sistemas afectados o la restricción del acceso.
Erradicación: Aquí se busca eliminar la causa del incidente, como eliminar el malware o corregir vulnerabilidades.
Recuperación: En esta fase, se restauran y verifican los sistemas afectados para asegurar que vuelvan a operar de manera segura.
Lecciones aprendidas: Después de resolver el incidente, se realiza un análisis detallado para entender qué ocurrió y cómo mejorar la respuesta futura, actualizando políticas y procedimientos si es necesario.

Una gestión efectiva de incidentes de ciberseguridad es crucial para minimizar el impacto de las amenazas y proteger los activos de la organización.

Juan Santana

Estudiante

John Fredy Ramirez Bedoya

Estudiante

Gestión de Incidentes de Ciberseguridad: La gestión de incidentes de seguridad es un proceso de identificar, administrar, registrar y analizar las amenazas o incidentes de seguridad ocurridos en una organización.

Los estándares mas usados es la Guía para el manejo de incidentes (NIST SP 800-61 R2).

Fases de la Guía para el manejo de incidentes (NIST SP 800-61 R2).

Preparación.
Detección y análisis.
Contención de incidentes.
Actividades Post-Incidente.

Enlace de consulta: https://ciberseguridad.uach.mx/empresas/gestion-de-incidentes-informaticos/

Bienvenida

Ciberseguridad empresarial desde cero

Introducción a la ciberseguridad

Qué es la ciberseguridad y sus pilares

Importancia de la Ciberseguridad Empresarial

Qué gana tu empresa con ciberseguridad

Principales retos de la ciberseguridad empresarial

Análisis de Brechas en Ciberseguridad Empresarial

Campos de acción de la ciberseguridad

Fundamentos de la Seguridad de la Información

Ciclo de Desarrollo Seguro de Software y Controles de Seguridad

Seguridad en Redes: Protección por Capas y Controles Clave

Seguridad en la Nube: Controles y Arquitectura Segura

Controles de Seguridad Física para Proteger Activos de Información

Cultura en Ciberseguridad: Implementación y Mejora Continua

Ciberamenazas

Qué es el malware y cómo infecta redes

Cómo opera el ransomware y cómo frenarlo

Ingeniería Social: Técnicas de Manipulación en Ciberseguridad

Cómo funciona el phishing y cómo frenarlo

Cómo los ataques DDoS afectan tu empresa

Cómo funciona el ataque Man in the Middle

Controles en ciberseguridad

Gestión de accesos con KeePass y Bitwarden

Implementación y Beneficios de Firewalls en Ciberseguridad

Sistemas IDS e IPS: Detección y Prevención de Intrusiones en Redes

Qué es SIEM y cómo correlaciona eventos

Copias de Seguridad: Importancia, Métodos y Soluciones Empresariales

Cifrado: Conceptos, Tipos y Aplicaciones Prácticas

Qué es una VPN y cómo protege tus datos

Endpoint Protection vs antivirus tradicional

Plan de continuidad de negocio paso a paso

Cómo un DLP detiene fugas de datos