Documentos de Académico
Documentos de Profesional
Documentos de Cultura
30-06-2022.
Gestión de la seguridad
Carlos Santiago Cruz
Pero…
3
Contenido
4
Tema 3
5
Seguridad de la información y gestión
de riesgos
La seguridad de la información
Información = Activo
¡Amenazas!
6
¡Seguridad en procesos!
Objetivo del negocio
. ¡Procesos! (Información)
Se debe contestar:
➢ ¿Qué?
➢ ¿Dónde?
➢ ¿Cómo?
➢ ¿Cuándo?
7
¡Seguridad en procesos!
Objetivo del negocio
¡Procesos! (Información)
Dimensiones de seguridad:
Se debe contestar:
• Confidencialidad [C].
➢ ¿Qué? • Integridad [I].
➢ ¿Dónde? • Disponibilidad [D].
➢ ¿Cómo? • Autenticidad [A].
➢ ¿Cuándo? • Trazabilidad [T].
Acceso
8
¡Seguridad en procesos!
Objetivo del negocio
Protección de medios
¡Procesos! (Información)
Se debe contestar:
➢ ¿Qué?
➢ ¿Dónde?
➢ ¿Cómo?
➢ ¿Cuándo?
9
¡Seguridad en procesos!
Objetivo del negocio
¡Controles!
¡Procesos! (Información)
• Minimizar amenazas
Se debe contestar: • Disminuir impacto en caso de
• Procedimientos de
➢ ¿Qué? • Recuperación.
➢ ¿Dónde? • Mecanismos en base a experiencia
➢ ¿Cómo?
➢ ¿Cuándo?
10
¡Seguridad en procesos!
Objetivo del negocio
Todo el ciclo de vida
¡Procesos! (Información) Fases:
11
¡Análisis de riesgos!
Es necesario:
Para:
• Conocer Amenazas
• Identificar peligros
• Magnitud y áreas.
12
¡Política de seguridad de la información!
Actividades de seguridad:
Objetivos y responsabilidades
13
¡UNE-ISO 31000:2018!
Herramienta para gestionar el riesgo
UNE-ISO 31000
¡Riesgos! (Actividades)
Marco de referencia para integrar la
gestión de riesgos en:
➢ identificar
➢ analizar
➢ Procesos de gobierno, de estrategia y de
➢ evaluar
planificación;
➢ Gestión
➢ Elaboración de informes,
➢ Políticas
➢ Valores
➢ Cultura de toda la organización
14
15
16
17
18
19
Tema 4
20
¡Recordemos!
El objetivo de la gestión de la seguridad es:
21
22
Programas de gestión de la seguridad
Un riesgo es esencialmente la posibilidad de
ocurrencia de un evento no deseado.
4 Evitar riesgo
23
El análisis de riesgos estudia las amenazas, junto con su probabilidad e
impacto.
24
Definiciones:
Los tipos de amenazas pueden ser desde desastres naturales, de origen industrial,
errores y fallos no intencionados hasta ataques intencionados.
El conjunto de medidas que se aplica a los activos para reducir el riesgo se denomina
salvaguardas. Ejemplos: cortafuegos, copias de respaldo, sistemas de control de
acceso, establecer procedimientos de alta de usuarios y asignación de accesos,
protección de datos, etc.
25
Programas de gestión de la seguridad
puede ser?
Implementación Evaluación
de controles Cuantitativa
26
Programas de gestión de la seguridad
Análisis de riesgo cuantitativo
27
Programas de gestión de la seguridad
Análisis de riesgo cuantitativo
» El valor de mercado del recurso, si se puede evaluar. Por ejemplo, el valor por el que
se podría vender un secreto industrial.
28
Programas de gestión de la seguridad
Análisis de riesgo cuantitativo
29
Diseño de políticas de seguridad
30
Ejemplo:
31
¡TOR!
32
¿Dudas?
33
www.unir.net