Mantener la información en Aquellos con permiso para

Estar seguro de que la

secreto y garantizar que solo acceder a la información pueden
información no ha sido
aquellos que han sido autorizados acceder a ella de manera
modificada sin permiso
puedan verla. oportuna

Las políticas de seguridad de la información, los estándares, las Confidencialidad Integridad Disponibilidad
Creación de políticas, procedimientos
líneas de base, las pautas, los procedimientos y los libros de
y manuales de seguridad de la
jugadas son la columna vertebral de cualquier estrategia de
información
seguridad de la información.

Tríada CIA
Las políticas de seguridad de la información deben ser entendidas Establecer y mantener un
por todos los miembros de la organización. Los requisitos deben programa de concientización,
establecerse de inmediato para cualquier miembro nuevo, y luego se educación y capacitación sobre
deben proporcionar recordatorios regulares. seguridad

Los activos, desde el punto de vista contable, representan

Terminología básica los bienes, derechos y otros recursos controlados
Se compone de:
El uso de varias soluciones de software como servicio (SaaS), plataforma de InfoSec Activos económicamente por la empresa, resultantes de sucesos
como servicio (PaaS) e infraestructura como servicio (IaaS) presenta pasados, de los que se espera que la empresa obtenga
nuevos requisitos: cruzar fronteras internacionales con PII ahora es Gestión del riesgo beneficios o rendimientos económicos en el futuro.
potencialmente romper la ley. Un tercero que almacene los datos de su de terceros
organización en texto sin formato podría ser catastrófico en caso de que
una amenaza interna vea esa información.
El riesgo de seguridad de la
Metodologías información es el potencial de pérdida, Las amenazas a la seguridad de la información atentan
Comprender por qué
comprobadas en medido a través del impacto combinado contra su confidencialidad, integridad y disponibilidad.
la gestión de riesgos Riesgo Se compone de: Amenazas
Aparecen nuevos exploits, surgen nuevas técnicas y los sistemas cambian la creación de una y la probabilidad de que una amenaza Existen amenazas relacionadas con falla humanas, con
es importante
constantemente. A medida que se descubren nuevas vulnerabilidades y estrategia explote una vulnerabilidad en uno o ataques malintencionados o con catástrofes naturales.
surgen nuevas amenazas, todas las estructuras y controles implementados más activos del sistema de información
Mejora continua e
para reducir el riesgo de seguridad de la información en su organización
informes
deben mejorar. Es importante mantenerse al día con lo que sucede desde
el punto de vista de amenazas y vulnerabilidades, así como asegurarse de
que sus registros de activos y riesgos estén actualizados.
 Una vulnerabilidad es una debilidad existente en un sistema
Vulnerabilidades que puede ser utilizada por una persona malintencionada
para comprometer su seguridad.
InfoSec y gestión de riesgos

El equipo de seguridad de la información debe

cubrir con lo que es la compresión de los Estructuras de
Definir la forma en que su organización ve los
requisitos para el programa de seguridad de la cumplimiento Definición y cálculo
información de su organización. distintos niveles de impacto que podría enfrentar
del impacto
como resultado de un evento de seguridad.

El equipo debe mantenerse al tanto de cómo su organización

administra realmente los diversos requisitos de cumplimiento a
menudo requiere trabajar con todos los equipos de su Comprensión de los
organización. Sí, esto incluye equipos legales y de recursos requisitos legales y
humanos, se incluirá la realización de auditorías internas para reglamentarios Para comprender la probabilidad, debemos definir la
Definición y cálculo
forma en que nuestra organización ve los distintos
garantizar que su organización haga lo que dice y dice lo que
de la probabilidad
hace.  niveles de probabilidad.

Consideración de regulaciones
Realizar un riesgo
legales, investigaciones y
básico de evaluación
estructuras de cumplimiento.
Se determina el impacto, después se determina el puntaje
A pesar de que la empresa no sea muy grande es importante del impacto el siguiente paso sería determinar la
cumplir con las medidas legales, acerca de conocer lo que Responder y Cálculo del riesgo probabilidad de que ocurra ese evento. Una forma de
acontece con cierta información, realizando una investigación, ya emprender intentar determinar la probabilidad es a través de
sea personal o entregar los registros a las fuerzas del orden para investigaciones registros históricos.
que realicen análisis forenses

Depende de las partes interesadas de su organización

La mayoría de los estándares de seguridad de la determinar el nivel aceptable de riesgo, que también se
Apetito de riesgo,
información tienen por principio la mejora continua, es Mayor optimización del conoce como el apetito de riesgo de la
tratamiento del riesgo y
necesario ponernos en el estado de ánimo de un ingeniero y ver el cumplimiento organización. Si se va a querer definir adecuadamente
aceptación del riesgo
mundo a través de esos ojos críticos.
nuestro impacto y probabilidad para reflejar el apetito
por el riesgo de la organización.