(Información)
Es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente
Significado de información
• Malware
• Crecimiento en complejidad y efectividad de las herramientas de “hackeo”
• Crecimiento de las redes.
Amenazas de la información
¿Qué es la evaluación de riesgos?
Se debe realizar una apreciación de riesgos para identificar las amenazas a los activos y sus respectivas vulnerabilidades.
Sistema para establecer la política, sus objetivos y cómo lograrlos
Sistema de Gestión
¿Cuál es la clasificación de controles de seguridad por tipo de información?
Control técnico
Control Legal
Control Administrativo
Control Gerencial
Menciona 3 elementos del ciclo de vida de la seguridad de la información
Crear, almacenar, usar, compartir, archivar y destruir
• Falta de aseguramiento de acceso con el principio del menor privilegio.
• Nula participación de los dueños de la información en el involucramiento del tratamiento de la misma.
Vulnerabilidad de la información
es el potencial de que una amenaza dada, explote las vulnerabilidades para causar la pérdida o daño a un activo oa un grupo de activos.
Riesgos de seguridad
• Lo que se implementa debe controlarse y medirse, lo que se controla y mide debe ser gestionado.
Sistema de Gestión
¿Cuál es la clasificación de controles por seguridad de la información por su función?
Control preventivo
Control detectivo
Control correctivo
1.Transmitida por correo o usando medios electrónicos
2. Mostrada en videos corporativos
3. Verbal por ejemplo Conversaciones
Tipos de información
Debilidad de un activo o control que puede ser explotado por una o más amenazas
Vulnerabilidad
La sensibilidad del activo vulnerado.
Impacto
• Provee los medios para la gobernabilidad corporativa en seguridad de la información.
• Mejora la efectividad del ambiente de seguridad de la información.
Beneficios de tener un sistema de gestión en la organización
• El compromiso y apoyo visible por parte de la Dirección.
• Entendimiento de los requisitos de seguridad, de la evaluación de riesgos y gestión de riesgos.
Factores críticos de éxito
¿Qué puede hacerse con la información?
Crear, almacenar, usar, compartir, archivar y destruir
• Pérdida del negocio.
• Pérdida de la equidad de marca.
• Pérdida de productividad.
Impactos de la información
Denotada por la materialización de una amenaza (agente y / o evento) y una vulnerabilidad (Falta, falla o debilidad de uno o más controles).
Probabilidad
Política, planeación, implementación y operación
Forman parte del sistema de gestión
Una efectiva seguridad de la información bien comunicado, documentado, consistente con las políticas de la organización, que involucre a los empleados y que esté apoyado por la Dirección depende de......
Sistema de Gestión de Seguridad de la Información
4.Los datos viven en uso activo y entra en un almacenamiento a largo plazo.
Archivar
¿Cómo definimos vulnerabilidad?
Un defecto o debilidad, falta de un control, error en el diseño, implementación, operación y administración de un sistema que puede ser explotada para violar la seguridad del sistema
Menciona al menos 3 aspectos de la calificación de riesgos
Identificación y evaluación de activos
Identificación de vulnerabilidades
Identificación de amenazas
Evaluación de impactos
Riesgo de negocio
¿Cuál es la triada de la seguridad de información?
Confidencialidad
Integridad
Disponibilidad
Los incidentes de la seguridad de información son...
evento
incidente
problema