Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Beneficios adicionales:
Cuando una empresa paga el rescate este informe indica que las empresas doblan los costos de
recuperación.
Generar confianza
Abrir nuevas oportunidades
Proteger la marca
Habilitar la innovación
# Objetivos del Programa de Seguridad de la Información
## 1. Salvaguardar la Confidencialidad
**Meta:** Garantizar la protección contra accesos no autorizados, preservando la
privacidad y el secreto de la información.
**Acciones:**
- Implementar controles de acceso y autenticación.
- Encriptar datos sensibles durante su almacenamiento y transmisión.
- Establecer políticas claras de manejo de información confidencial.
## 2. Garantizar la Integridad de los Datos
**Meta:** Asegurar que los datos sean exactos y completos, evitando alteraciones
indebidas durante su ciclo de vida.
**Acciones:**
- Implementar mecanismos de verificación y validación de datos.
- Establecer procedimientos para la actualización segura de la información.
- Realizar auditorías regulares para detectar posibles cambios no autorizados.
## 3. Garantizar la Disponibilidad de la Información
**Meta:** Asegurar el acceso oportuno y confiable a los datos por parte de usuarios
autorizados cuando sea necesario.
**Acciones:**
- Implementar redundancias y sistemas de respaldo.
- Establecer protocolos de respuesta ante incidentes para minimizar el tiempo de
inactividad.
- Monitorear continuamente la infraestructura para prevenir y mitigar posibles fallas.
## 4. Alineación con los Objetivos Organizacionales
**Meta:** Alinear el programa de seguridad de la información con los objetivos
estratégicos de la organización.
**Acciones:**
- Integrar la seguridad de la información en la planificación estratégica.
- Definir métricas de desempeño que demuestren la contribución de la seguridad a los
objetivos organizacionales.
- Adaptar el programa a los cambios en la estructura y metas de la organización.
## 5. Enfoque Basado en Riesgos
**Meta:** Gestionar los recursos de seguridad de manera efectiva y proporcional al
valor y sensibilidad de la información.
**Acciones:**
- Realizar evaluaciones periódicas de riesgos y vulnerabilidades.
- Priorizar la implementación de controles según la criticidad de los activos de
información.
- Ajustar continuamente el programa en función de las cambiantes amenazas y riesgos.
## 6. Seguridad como Factor de Negocio
**Meta:** Posicionar la seguridad como un habilitador del crecimiento y éxito
empresarial.
**Acciones:**
- Comunicar los beneficios comerciales de la seguridad a las partes interesadas.
- Obtener certificaciones de seguridad para acceder a nuevos mercados.
- Integrar la seguridad en la cultura organizacional, demostrando su valor como parte
integral de los procesos diarios.
## 7. Protección de la Marca y Reputación
**Meta:** Evitar brechas de seguridad que puedan impactar negativamente la marca y
reputación de la empresa.
**Acciones:**
- Implementar medidas de seguridad para prevenir incidentes.
- Establecer un plan de respuesta a incidentes efectivo.
- Utilizar el programa de seguridad como un diferenciador positivo en el mercado.
## 8. Facilitar la Adopción de Nuevas Tecnologías
**Meta:** Permitir la incorporación segura de nuevas tecnologías y enfoques de
negocio.
**Acciones:**
- Evaluar la seguridad de las nuevas tecnologías antes de su implementación.
- Asegurar la compatibilidad de las soluciones de seguridad con las innovaciones
tecnológicas.
- Proporcionar capacitación continua al personal sobre las mejores prácticas de
seguridad.
## 9. Desarrollar un Modelo de Madurez en Seguridad
**Meta:** Avanzar hacia un nivel de madurez que garantice una protección efectiva de
los activos de la organización.
**Acciones:**
- Evaluar periódicamente la eficacia de los controles de seguridad.
- Implementar mejoras continuas en el programa basadas en lecciones aprendidas de
incidentes y auditorías.
- Fomentar una cultura de seguridad que promueva la responsabilidad individual y
colectiva.
Un programa de seguridad de la información efectivo no solo protege los activos de
una organización, sino que también contribuye al crecimiento, la confianza del cliente
y el éxito continuo en el mercado.
Como implemento seguridad en mi organizacion?
Como evito ser hackeado?
Que es esto de los ransomware?
Como me protejo ante todas estas amenazas?
CONCEPTOS BASICOS
INTEGRIDAD: Los datos sean exactos y completos, evitando alteraciones indebidas durante su
ciclo de vida
DISPONIBILIDAD: Acceso oportuno y confiable a los datos por usuarios autorizados cuando
se necesiten
DEFINICION
Según el Instituto nacional de estandares y tecnoligias de los Estados unidos (NIST por sus
siglas en inglés, National Institute of Standards and Technology
Debe estar alineado a los objetivos de la organización y diseñado para abordar los riesgos
especificos a los que estan expuestos estos objetivos, con un enfoque o buenas practicas
de gestión de riesgo debe asegurar la implementación de controles efectivos que requieran
estos objetivos
Disponibilidad: Acceso oportuno y confiable a los datos por usuarios autorizados cuando se
necesiten.
• Generar confianza
• Proteger la marca
• Habilitar la innovación
## 1. Salvaguardar la Confidencialidad
**Acciones:**
**Meta:** Asegurar que los datos sean exactos y completos, evitando alteraciones indebidas
durante su ciclo de vida. 🔄
**Acciones:**
**Meta:** Asegurar el acceso oportuno y confiable a los datos por parte de usuarios
autorizados cuando sea necesario. 🌐
**Acciones:**
**Acciones:**
**Acciones:**
**Acciones:**
**Acciones:**
**Acciones:**
**Meta:** Avanzar hacia un nivel de madurez que garantice una protección efectiva de los
activos de la organización. 📈🔄
**Acciones:**
INTEGRIDAD: te garantiza que los datos sean exactos y completos, evitando alteraciones
indebidas durante su ciclo de vida.
DISPONIBILIDAD: tiene como garantía el acceso oportuno y confiable a los datos por
usuarios autorizados cuando se necesitan
2. Protección de activos:
3. Seguridad de la infraestructura:
5. Monitoreo y mejora:
Referencias gubernamentales.
Normas de la Industria.
Un enfoque orientado a riesgos nos permite priorizar o comprender a lo que estamos expuestos.
· ¿Cuál es su valor?
De acuerdo a las preguntas anteriores que tanto debo invertir en controles para mitigar riesgos.
Nos ayuda a preparar, evitar y entender que son los riesgos, las fallas mas comunes que
podemos tener y trabajar en ello.
La seguridad de la información busca darle continuidad al negocio, pero también proteger los
activos de información y las personas.
Se debe tener en cuenta el criterio en el que se maneja el negocio y cuales son las leyes,
reglamentos o los estándares que debemos cumplir.
Hay que entender las fallas en las que están expuestas nuestros procesos (No necesariamente
tienen que ser software), Tener en cuenta el personal que entra a nuestra organización y
cumplir con unos protocolos de seguridad como carnet, huella, etc.
Políticas de seguridad
Gestión de riesgos
Control de accesos
Concienciación y formación
respuesta a incidentes
Recuperación ante desastres y continuidad del negocio
Seguridad física
Cumplimiento normativo
Gestión de vulnerabilidades
Poiticas de seguridad
Son las reglas del juego, determinan como se va a proteger la información, y definido esto
crear los procedimientos para capacitación y manejo de los activos de la infomracíon en la
organización
Caracteristicas
Es un documento oficial
Aprobado por la alta gerencia
Debe ser comunicada a todo el personal
Su objetivo es Garantizar en la medida de la posible la disponibilidad, intergridad y
confidencialidad de la informacion de la empresa
Establece roles y responsabilidadaes
Establece las consecuencias de su incumplimiento
Gestión de riesgos
Caracteristcias
4. Políticas de seguridad
Las políticas de seguridad conforman el documento que nos da la directriz de operación, define
como vamos a proteger la operación y como debemos operar sobre estas, estos documentos
deben ser socializados, comunicados, transmitidos a todos y a cada uno de los colaboradores de
la organización, incluso partes interesadas, inversionistas y la mesa directiva, a ese conjunto de
integrantes se le domina como STAKEHOLDERS.
· Objetivo y alcance: Se enfoca a que se desea proteger, sobre que ámbito de las operaciones
de negocios quiere regular.
· Principios de seguridad: Son los alineamientos que se van a desarrollar en los
procedimientos, el procedimiento te indica como se debe operar la política de lo que debería
proteger.
· Roles y Responsabilidades: Son aquellas personas que están conectados a esta política,
quienes son los responsables de hacerla cumplir y validar que otros la estén cumpliendo.
· Clasificación y manejo de la información: Es donde podemos identificar la sensibilidad de
la información, que tan crítica es la información
· Acceso a la Información: Se establece una guía para los controles que debemos
implementar, se requiere múltiples factores de autenticación como lo es una tarjeta magnética o
algo mas complejo, todo depende de la información sensible.
· Gestión de incidentes de seguridad: Como se gestiona el incidente con respecto a la
operación para indicar los canales de comunicación.
· Formación de seguridad: Es la competencia que debe tener una para desarrollar esa
actividad.
· Continuidad del negocio: Da referencia al éxito mínimo necesario que debemos cumplir en
los procedimientos para que opere el proceso del negocio.
· Revisión y auditoria: Cada cuanto se le hará revisión o evaluación a esta política, Se suele
crear una política y no se suele actualizar estos documentos que nos ayuda a proteger los
activos de información relacionado al modelo de negocio.
Esto fue lo que me genero para una empresa de venta de ropa; Política General de Seguridad
de la Información
Paradise Tech
Compromiso de la Organización
Gestión de Riesgos
1. Paradise Tech se compromete a cumplir con todas las leyes, regulaciones y estándares
relacionados con la seguridad de la información, incluidos, entre otros, los requisitos
de la norma ISO 27001 y los estándares NIST.
2. Aseguraremos que todos los empleados, contratistas y terceros que manejen
información de Paradise Tech cumplan con las políticas y procedimientos de seguridad
de la información establecidos.
3. Garantizaremos que los acuerdos contractuales con proveedores y socios comerciales
incluyan cláusulas de seguridad de la información que protejan los intereses de
Paradise Tech y de sus clientes.
Responsabilidades
1. La alta dirección de Paradise Tech será responsable de establecer, mantener y mejorar
continuamente el SGSI, así como de proporcionar los recursos necesarios para su
implementación efectiva.
2. Todos los empleados serán responsables de cumplir con las políticas y procedimientos
de seguridad de la información, así como de reportar cualquier incidente o
vulnerabilidad de seguridad que puedan identificar.
3. El equipo de seguridad de la información será responsable de supervisar la
implementación del SGSI, realizar auditorías internas y proporcionar orientación y
capacitación en materia de seguridad de la información.
Firmado,
Esta política general de seguridad de la información establece el marco general para la gestión
de la seguridad de la información en Paradise Tech y proporciona una base sólida para el
desarrollo e implementación del Sistema de Gestión de Seguridad de la Información (SGSI).
Políticas de seguridad
Conforman el documento que nos da la directriz de operación, define como vamos a proteger la
información y como debemos operar sobre estas.
Deben ser socializados, comunicados y trasmitidos a todos y cada uno de los involucrados en la
organización, incluidas partes interesados, inversionistas y mesa directiva (stakeholders).
Las políticas deben verse como documentos vivos, por lo que deben tener gestionados los
controles de versiones, para saber quien los modifico y quienes tiene acceso.
Puedes apoyarte de la IA para acelera la construcción de las políticas, entendiéndose como una
guía y no como una absoluto.
El prompt es:
Y luego:
Genera un modelo de una política de seguridad de la información para una empresa llamada
(nombre de la empresa) dedicada a la (indicar aquí su giro) esta política debe ser clara en
compromiso de la organización con la gestión de lograr con el Sistema de Gestión de
Seguridad de la Información (SGSI) tales como asegurarse que lo objetivos del SGSI estén
alineados con los objetivos del negocio, el desarrollo del programa de seguridad de la
información y la gestión de riesgos, que todos los acores directos e indirectos cumplan con las
normas establecidos, y que se cumplan los requisitos legales y contractuales alrededor de la
privacidad de la información y el habeas data.
800-601 NIST
Preparación
Detección y análisis. Qué tan grave es. Hay tres niveles de atención usuales:
Primer nivel.
Actividad post-incidente.
5. Respuestas a incidentes
Son eventos adversos para mitigar potenciales daños recuperar operaciones y aprender de estas
lecciones para mejoras futuras.
5.1. Preparación
· ¿Quién tiene la autorización de dar a conocer a sus clientes lo que esta ocurriendo?
Hay softwares especializados que está recopilando eventos, esos eventos son evaluados y
pueden indicar el tipo de problema según la necesidad de atención. Se usan normalmente 3
niveles de atención:
· Primer nivel: Primera línea de atención al usuario o los operadores que leen las señales, ellos
darán solución a problemas mínimos ocurridos.
· Tercer nivel: Cuando se llega a este punto porque no se detecta la raíz del problema, se
requiere investigación y a su vez un equipo especializado.
2. Detección:
3. Contención:
Aislar los sistemas afectados: Es importante aislar los sistemas afectados para evitar
que el incidente se propague.
Deshabilitar las cuentas de usuario comprometidas: Se deben deshabilitar las
cuentas de usuario que se han visto comprometidas.
Contener el malware: Se debe contener el malware para evitar que se propague a
otros sistemas.
4. Erradicación:
5. Recuperación:
2. Detección:
3. Contención:
Aislar los sistemas afectados: Es importante aislar los sistemas afectados para evitar
que el incidente se propague.
Deshabilitar las cuentas de usuario comprometidas: Se deben deshabilitar las
cuentas de usuario que se han visto comprometidas.
Contener el malware: Se debe contener el malware para evitar que se propague a
otros sistemas.
4. Erradicación:
5. Recuperación:
Respuesta a incidentes
Se refiere a la gestión de eventos adversos, para mitigar potenciales daños, recuperar
operaciones y aprender de estas lecciones para mejoras futuras.
Otro elemento importante es una línea de tiempo incluido, quien reporto, quien atendió, que
acciones se ejecutaron. Identificar la causa raíz, si es conocida.
Otro elemento importante es una línea de tiempo incluido, quien reporto, quien atendió, que
acciones se ejecutaron. Identificar la causa raíz, si es conocida.
Vulnerabilidad: una debilidad en el sistema, software que estamos usando. Puede ser
explotada para causar daño.
CVE - Common vulnerabilities and exposures. Buscar, entender las vulnerabilidades, cómo
resolverlas.
CVSS - El proyecto explica cómo se calcula las vulnerabilidades. Hay métricas base que
permiten comprender el vector de ataque de cada vulnerabilidad y comprender la severidad
para la empresa. Privilegios que requiere. Cómo podemos afrontarla. Cómo afecta a la
confidencialidad, disponibilidad e integridad. Expresa qué tan crítica es la vulnerabilidad.
Se puede hacer búsquedas por tipo de aplicación o nombre, base de datos de vulnerabilidades,
con un código único que identifica a cada una. Este ayuda a identificar la vulnerabilidad para
priorizar su atención.
Exploits o pruebas de concepto para determinar qué tan fácil puede explotarse una
vulnerabilidad. Se puede hacer búsqueda de ellas para desplegar las que están registradas en el
sistema.
La vulnerabilidaad más grande, seguirá siendo: "El ser humano" Por eso la capacitación en
temas de ciberseguridad debería parte del proceso de inducción de cualquier trabajador, cuando
se incorpora a una organización. Gestión de vulnerabilidades:
Definición: La gestión de vulnerabilidades es un proceso continuo y proactivo para identificar,
evaluar, corregir y reportar las vulnerabilidades en los sistemas de información de una
organización.
Objetivo: Minimizar el riesgo de que las vulnerabilidades sean explotadas por los atacantes
para comprometer la seguridad de la información.
Componentes clave:
Identificación de vulnerabilidades: Se pueden utilizar diferentes técnicas para
identificar las vulnerabilidades, como escaneos de vulnerabilidades, pruebas de
penetración y análisis de código fuente.
Evaluación de vulnerabilidades: Se debe evaluar la severidad de las vulnerabilidades
en función del riesgo que representan para la organización.
Corrección de vulnerabilidades: Se pueden aplicar diferentes medidas para corregir
las vulnerabilidades, como instalar parches de seguridad, actualizar software o
configurar los sistemas de forma segura.
Reporte de vulnerabilidades: Es importante reportar las vulnerabilidades a los
proveedores de software y a las autoridades correspondientes.
¿Quién nos amenaza? ¿Qué impacto tiene en el negocio?
Amenaza - Cualquier circunstancia, condición o evento con el potencial de causar
daño, pérdida o alteración no deseada de los datos. La realiza un tercero para
aprovecharse, pero también pueden ser originadas en causas naturales.
Riesgo - La posibilidad de que una amenaza explote o se aproveche de una
vulnerabilidad para causar un impacto negativo. Pérdidas financieras, a la marca,
operacionales, pueden ser muchas. ¿Cuánto nos cuesta?
Gestión del Riesgo - Evitarlo, pero no es común. Eso puede implicar parar
operaciones. Transferirlo - Es una especia de póliza, transferimos el riesgo a una
aseguradora, pagando una póliza. La más común es gestionar el riesgo, o
sea, analizar las amenazas, su probabilidad de ocurrencia.
Riesgo intrínseco - El que asumimos sin implementar ninguna protección.
Si aplicamos controles, el riesgo no se elimina, pero se minimiza o mitiga su efecto.
El impacto restante se llama “riesgo residual” luego de aplicar las salvaguardas y
controles.
5. Respuestas a incidentes
Son eventos adversos para mitigar potenciales daños recuperar operaciones y aprender de estas
lecciones para mejoras futuras.
5.1. Preparación
· ¿Quién tiene la autorización de dar a conocer a sus clientes lo que esta ocurriendo?
Hay softwares especializados que está recopilando eventos, esos eventos son evaluados y
pueden indicar el tipo de problema según la necesidad de atención. Se usan normalmente 3
niveles de atención:
· Primer nivel: Primera línea de atención al usuario o los operadores que leen las señales, ellos
darán solución a problemas mínimos ocurridos.
· Tercer nivel: Cuando se llega a este punto porque no se detecta la raíz del problema, se
requiere investigación y a su vez un equipo especializado.
Vulnerabilidad: una debilidad en el sistema, software que estamos usando. Puede ser
explotada para causar daño.
CVE - Common vulnerabilities and exposures. Buscar, entender las vulnerabilidades, cómo
resolverlas.
CVSS - El proyecto explica cómo se calcula las vulnerabilidades. Hay métricas base que
permiten comprender el vector de ataque de cada vulnerabilidad y comprender la severidad
para la empresa. Privilegios que requiere. Cómo podemos afrontarla. Cómo afecta a la
confidencialidad, disponibilidad e integridad. Expresa qué tan crítica es la vulnerabilidad.
Se puede hacer búsquedas por tipo de aplicación o nombre, base de datos de vulnerabilidades,
con un código único que identifica a cada una. Este ayuda a identificar la vulnerabilidad para
priorizar su atención.
Exploits o pruebas de concepto para determinar qué tan fácil puede explotarse una
vulnerabilidad. Se puede hacer búsqueda de ellas para desplegar las que están registradas en el
sistema.
Gestión de vulnerabilidades:
Definición: La gestión de vulnerabilidades es un proceso continuo y proactivo para identificar,
evaluar, corregir y reportar las vulnerabilidades en los sistemas de información de una
organización.
Objetivo: Minimizar el riesgo de que las vulnerabilidades sean explotadas por los atacantes
para comprometer la seguridad de la información.
Componentes clave:
Gerencia media:
Enfoque táctico: La gerencia media se preocupa por los riesgos que pueden afectar las
operaciones diarias de la organización, como errores humanos o fallos técnicos.
Implementación de estrategias: La gerencia media implementa las estrategias de
gestión del riesgo establecidas por la directiva.
Control de riesgos: La gerencia media se encarga de controlar los riesgos mediante la
implementación de medidas de seguridad y la monitorización de los indicadores de
riesgo.
Áreas operacionales:
Enfoque operativo: Las áreas operacionales se preocupan por los riesgos que pueden
afectar su trabajo diario, como accidentes de trabajo o interrupciones del servicio.
Identificación de riesgos: Las áreas operacionales son las responsables de identificar
los riesgos que pueden afectar su trabajo.
Comunicación de riesgos: Las áreas operacionales deben comunicar los riesgos a la
gerencia media para que se puedan tomar las medidas necesarias.
El concepto de riesgo intrínseco se refiere al riesgo que está presente sin ningún tipo de
control 🔄. En ciberseguridad, esto implica calcular el impacto y la probabilidad de ocurrencia
de amenazas antes de aplicar controles. Cuando se implementan controles, se está minimizando
el impacto del riesgo, pero es importante tener en cuenta que el riesgo nunca se elimina por
completo.
El término riesgo residual se refiere al impacto que permanece después de aplicar controles 🔄.
Aunque se implementen medidas para reducir el riesgo, siempre existe un nivel residual que
debe ser aceptado, ya que es difícil o imposible eliminar completamente todos los riesgos.
La gestión efectiva del riesgo implica evaluar y aceptar el riesgo residual de manera consciente
y informada 🤔.
Cuantitativas → Magerit.
Cualitativas → NIST, 800-30. Expresa el riesgo en niveles alto, medio o bajo.
Cualitativas:
Pasos Claves:
1. Definir alcance y objetivos:
Alcance: El alcance de la evaluación del riesgo debe ser definido claramente. Esto
incluye identificar los activos, sistemas y procesos que serán evaluados.
Objetivos: Los objetivos de la evaluación del riesgo deben ser específicos, medibles,
alcanzables, relevantes y con un plazo de tiempo definido.
6. Calcular el Riesgo:
Se deben identificar opciones para tratar el riesgo, como aceptar el riesgo, mitigar el
riesgo o transferir el riesgo.
8. Documentación y reporte:
La evaluación del riesgo debe ser documentada y reportada de forma clara y concisa.
El reporte debe incluir suficiente detalle para que la gerencia pueda tomar decisiones
informadas sobre el riesgo.
9. Implementación de medidas:
1. Evaluación de riesgo
1.1. ¿Qué se entiende por riesgo?
La posibilidad de que una amenaza explote una vulnerabilidad, causando un impacto negativo.
· Cualitativas: En la familia ISO 27000 existe una norma solo para evaluar riesgos. NIST, 800-
30 Expresa el riesgo en términos de impacto alto, medio o bajo.
· Hardware
· Software
· Versiones
más físicos:
Cual seria el nivel de vulnerabilidad que tienen estos activos. Cunado se tiene el inventario de
estos activos, se evalúa el impacto de verse comprometida la confidencialidad, integridad y
disponibilidad por activo.
El activo puede ser un sistema, un dato, pero esto es relevante porque un dominio es un activo,
sin embargo, un dominio incluye varios sistemas.
Nos ayuda a ser más precisos en el análisis del sistema a nivel de impacto.
ISO 27.001:2022 →
NIST 800 - 53 → 53B (los controles tienen ciertas indicaciones o directrices, analizar las
relaciones que tienen con otros). 53A es de assessment, evaluación. Qué se debe validar, a
quién entrevistar.
Selección de controles
Referencias de la documentación -
Tipos de controles:
Muchas gracias por este aporte Angie! La norma ISO 27.001 es un estándar internacional.
Esencialmente, si lo cumples, te permite demostrar a terceros que estás gestionando los riesgos
con esta certificación. Definitivamente te ayuda a mejorar el ISMS. El NIST es parte de una
agencia federal de USA. Su misión es crear estándares para que todas las agencias federales, y
los que trabajen con estas, cumplan los requerimientos mínimos de seguridad que estos
definan. Sus estándares nos permiten aplicar excelentes prácticas de seguridad, como los
controles en el documento estándar 800-53
Mis apuntes:
Se debe aplicar la regla 3,2,1 para respaldos: 3 Respaldos en 2 sitios distintos y 1 Offline. Es
fundamental para garantizar la seguridad de la información crítica
Debemos preguntarnos: ¿Cuál es el tiempo máximo aceptable que puedo esperar para recuperar
las operaciones sin incurrir en consecuencias mayores?
Debemos preguntarnos: ¿Cuanta información estoy dispuesto a perder a partir de los backups?
Estas dos variables nos ayudan a medir y entender cuanto debo invertir. Y justificar las
operaciones y vender un grado de confianza a mis partes interesadas.
Cuando hablamos de continuidad de negocio existen múltiples planes a validar y/o ejecutar:
• Plan de continuidad operativa (Identificar los recursos mínimos requeridos para continuar las
operaciones)
Saludos.
Es una práctica recomendada para proteger la información crítica. La regla establece que se
deben tener:
3 copias de seguridad:
En 2 ubicaciones diferentes:
1 copia de seguridad offline:
Es el tiempo máximo que una organización puede permitirse estar sin acceso a sus sistemas y
datos críticos después de un evento disruptivo.
Es la cantidad máxima de datos que una organización puede permitirse perder después de un
evento disruptivo.
Planes de Continuidad:
Plan de Continuidad del Negocio: Define las estrategias y acciones para mantener la
operación crítica del negocio en caso de un evento disruptivo.
Plan de Continuidad Operativa: Identifica los recursos mínimos necesarios para
mantener las operaciones básicas del negocio funcionando.
Plan de Continuidad de los Sistemas de Información: Describe cómo se recuperarán
los sistemas de información y datos críticos en caso de un evento disruptivo.
Definiciones y términos
🌐 Regla 3,2,1 3️⃣ 2️⃣1️⃣
La Regla 3,2,1 es una práctica recomendada para la protección de información crítica. Esta
regla establece que se deben tener:
Los respaldos deben someterse a pruebas, revisiones y validaciones para asegurar que puedan
restaurar el sistema correctamente a partir de esos respaldos y que no estén corruptos cuando se
requieran. 🔄👨💻🔍 Esto es esencial para garantizar la eficacia de los planes de recuperación ante
desastres y la continuidad de negocio. Las pruebas regulares ayudan a identificar posibles
problemas y a mantener la confianza en la integridad de los datos respaldados. 🛠️🧐
Conceptos Clave
Objetivo de Tiempo de Recuperación ⏲️ (RTO)
RTO (Recovery Time Objective) es el tiempo máximo aceptable para recuperar operaciones
críticas tras una interrupción. Representa el límite temporal en el cual se deben restaurar las
operaciones sin incurrir en consecuencias mayores.
RPO (Recovery Point Objective) define la máxima pérdida de datos tolerable tras una
interrupción. Indica cuánta información se puede perder a partir de los respaldos en caso de
una interrupción.
Ambos objetivos (RTO y RPO) son fundamentales para entender la inversión necesaria,
justificar las operaciones y proporcionar un nivel de confianza a las partes interesadas.
En resumen, mientras que un SLO es una métrica interna utilizada para medir el rendimiento
de un servicio, un SLA es un acuerdo contractual entre un proveedor y un cliente que establece
los niveles de servicio esperados y las consecuencias en caso de incumplimiento. Ambos
conceptos están relacionados en la gestión de servicios, ya que los SLOs a menudo se utilizan
para medir y cumplir con los compromisos establecidos en los SLAs.
Puntos de Equilibrio ⚖️
Los puntos de equilibrio definen la relación 💰 costo-beneficio entre los mecanismos utilizados
para mitigar y respaldar datos y los niveles de 📈 tolerancia a fallos de los sistemas. Esta
relación se determina según el valor, sensibilidad y criticidad de la información.
Describe el servicio que se va a prestar, el nivel de rendimiento que se espera, cómo se medirá
y aprobará el rendimiento y qué ocurre si no se alcanzan los niveles de rendimiento.
https://www.ibm.com/mx-es/topics/service-level-agreement
BIA - Interrupciones que pueden afectar al negocio. ¿Cuál es el recurso minimo pora
continuar?
Pasos
Plan de Continuidad:
Evaluación Continua:
3. Análisis de amenazas: Se identifican las amenazas que pueden afectar a cada activo.
Definiciones y términos
🌐 Regla 3,2,1 3️⃣ 2️⃣1️⃣
La Regla 3,2,1 es una práctica recomendada para la protección de información crítica. Esta
regla establece que se deben tener:
3 respaldos de los datos. 📂📂📂
Almacenar los respaldos en 2 sitios distintos. 🏠🌍
Mantener al menos 1 respaldo fuera de línea. 🚫💻
Los respaldos deben someterse a pruebas, revisiones y validaciones para asegurar que puedan
restaurar el sistema correctamente a partir de esos respaldos y que no estén corruptos cuando se
requieran. 🔄👨💻🔍 Esto es esencial para garantizar la eficacia de los planes de recuperación ante
desastres y la continuidad de negocio. Las pruebas regulares ayudan a identificar posibles
problemas y a mantener la confianza en la integridad de los datos respaldados. 🛠️🧐
Conceptos Clave
Objetivo de Tiempo de Recuperación ⏲️ (RTO)
RTO (Recovery Time Objective) es el tiempo máximo aceptable para recuperar operaciones
críticas tras una interrupción. Representa el límite temporal en el cual se deben restaurar las
operaciones sin incurrir en consecuencias mayores.
RPO (Recovery Point Objective) define la máxima pérdida de datos tolerable tras una
interrupción. Indica cuánta información se puede perder a partir de los respaldos en caso de
una interrupción.
Ambos objetivos (RTO y RPO) son fundamentales para entender la inversión necesaria,
justificar las operaciones y proporcionar un nivel de confianza a las partes interesadas.
En este escenario humorístico, el RPO ha salvado tu tesis de la destrucción total, mientras que
el RTO establece el límite de tiempo para recuperar tu cordura y presentar la tesis a tiempo.
¡Tu gato, sin saberlo, ha desencadenado un épico drama académico con lecciones sobre
respaldo y paciencia! 😸🎓
En resumen, mientras que un SLO es una métrica interna utilizada para medir el rendimiento
de un servicio, un SLA es un acuerdo contractual entre un proveedor y un cliente que establece
los niveles de servicio esperados y las consecuencias en caso de incumplimiento. Ambos
conceptos están relacionados en la gestión de servicios, ya que los SLOs a menudo se utilizan
para medir y cumplir con los compromisos establecidos en los SLAs.
Puntos de Equilibrio ⚖️
Los puntos de equilibrio definen la relación 💰 costo-beneficio entre los mecanismos utilizados
para mitigar y respaldar datos y los niveles de 📈 tolerancia a fallos de los sistemas. Esta
relación se determina según el valor, sensibilidad y criticidad de la información.
NIST 800 53B → Ciclo de vida del desarrollo de sistemas. Tiene subcontroles o mejoras, como
usar datos reales en un entorno de desarrollo, separación de los ambientes.
Gestiona el riesgo
Seguridad forma parte del ciclo de vida vs. la seguridad se añade después.
Emblemáticos.
Laboratorio (han producido entregables de valor para revisar).
Incubadora (experimental).
Proyectos populares
Top 10
Application security verification standard.
Security testing guide.
SAMM - Modelo de madurez para aseguramiento del software.
Modsecurity Core Rule Set (WAF) - Empleado por grandes fabricantes de seguridad.
ZAP - Zend Attack Proxy.
Offensive Web Testing Framework
OWASP Top 10: Una lista de las diez vulnerabilidades web más críticas y comunes,
actualizada periódicamente por la comunidad OWASP.
Guía de Desarrollo OWASP: Una guía integral que cubre el ciclo de vida del
desarrollo de software (SDLC) seguro para aplicaciones web.
Guía de Testing OWASP: Una guía completa para las pruebas de seguridad de
aplicaciones web, que incluye metodologías, herramientas y recursos.
Proyectos OWASP: Una amplia colección de proyectos de código abierto
desarrollados por la comunidad OWASP, que abarcan temas como la gestión de
vulnerabilidades, la autenticación segura y la protección de APIs.
Eventos OWASP: Capítulos locales OWASP organizan eventos y reuniones para
fomentar la colaboración y el intercambio de conocimientos sobre seguridad de
aplicaciones web.
Capacitación OWASP: Capacitaciones y certificaciones OWASP para
desarrolladores, evaluadores de seguridad y profesionales de la seguridad de la
información.
Mi resumen:
1. Gobernanza.
2. Diseño.
3. Implantación.
4. Verificación.
5. Operaciones.
La velocidad de maduración dependerá de cada negocio. No hay una dirección estándar para
los cambios en cada una de las funciones.
OWASP SAMM es un marco de trabajo de código abierto desarrollado por la Open Web
Application Security Project (OWASP) para ayudar a las organizaciones a evaluar y mejorar
su postura de seguridad de software.
Los equipos de seguridad pueden estar especializados por tareas, en las organizaciones muy
grandes.
Si está iniciando, una organización puede llevar cabo con su equipo de personas actual.
Roles mínimos
Los roles mínimos para la seguridad de la información dependen del tamaño, la complejidad y
la industria de la organización.
2. Analista de seguridad:
Asegurarse de que las políticas estén actualizadas, sean relevantes y se adhieran a las
normativas legales y a los estándares aplicables de la industria. También se le llama
compliance officer.
El líder del programa de seguridad es el responsable de llevar la visión estratégica,
gestionar los recursos para el equipo y evaluar que se apliquen los objetivos definidos.
Bases técnicas y conceptuales.
Marcos referenciales, mejores prácticas.
Cumplimiento de legislación y estándares.
Gestión de la seguridad de la información.
CISA : líder.
Pentest+, CySA+
6
Responder
Iriquel Bernabel
Estudiante•hace 2 meses
1
c3tuxpo2018
Estudiante•hace un mes
RUTA GENERAL
Todo inicia con la implementación de controles. Luego formalizaron con políticas de seguridad
con los equipos. Gestión de vulnerabilidades más metódica.
Contrataron pruebas de evaluación y penetration testing. Se debe seguir profundizando en el
modelo de madurez y aseguramiento del software.