Por Qué Crear Un Programa de Seguridad de La Información

¿Por qué crear un programa de seguridad de la información?
Proteger la información confidencial:
 Datos de clientes: nombres, direcciones, información financiera, etc.

 Propiedad intelectual: secretos comerciales, diseños, código fuente, etc.
 Información financiera: estados financieros, datos de tarjetas de crédito, etc.
Reducir el riesgo de ataques cibernéticos:
 Malware: virus, ransomware, spyware, etc.

 Phishing: correos electrónicos fraudulentos que intentan robar información personal.
 Ataques de denegación de servicio (DoS): inhabilitan los sistemas informáticos.
Garantizar la continuidad del negocio:
 Permitir que la empresa siga funcionando en caso de un incidente de seguridad.

 Minimizar el tiempo de inactividad y la pérdida de productividad.
 Evitar daños a la reputación de la empresa.
Cumplir con las regulaciones:
 Ley de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)

 Ley Federal de Telecomunicaciones y Radiodifusión (LFTyR)
 Normas internacionales como ISO/IEC 27001
Beneficios adicionales:
 Aumentar la confianza de los clientes y socios.

 Mejorar la eficiencia y la productividad.
 Reducir los costes a largo plazo.
La Seguridad Informática paso de ser una necesidad a convertirse en una urgencia. El

costo aplicar políticas de seguridad, siempre serán mucho menores a los riesgos de ser
1. ¿Por qué crear un
hackeado y vulnerar la viabilidad del negocio.
programa de seguridad de la información?
Muchas de las organizaciones no gestionan sus riesgos de forma adecuada hasta que ya es
demasiado tarde.
Según el informe del estado de ransomware:
· El 66% de las empresas sufrieron este tipo de ataques.
· El 46% de las empresas pagaron el rescate de su información.
Cuando una empresa paga el rescate este informe indica que las empresas doblan los costos de
recuperación.
1.1. Norma 3,2,1
Realizar 3 copias en 2 medios de almacenamiento distintos, con 1 copia offline.

El 45% de las empresas que se recuperaron de un ransomware lo pudieron lograr en una
semana gracias a estos respaldos de la Norma 3, 2, 1.
Security as a Business Enabler (SaaBE): Un nuevo enfoque para la seguridad

SaaBE va más allá de la simple protección de datos y sistemas, transformando la seguridad en
un activo estratégico que impulsa el crecimiento y la innovación del negocio.
Aumenta la confianza y fidelidad del cliente: Los clientes se sienten seguros al interactuar
con empresas que protegen su información.
 Promueve la innovación: La seguridad robusta permite a las empresas explorar

nuevas tecnologías y oportunidades de negocio.
 Mejora la eficiencia operativa: La automatización y la gestión de riesgos optimizan
los procesos y reducen costes.
 Fortalece la reputación de la marca: Una sólida cultura de seguridad genera
confianza y prestigio en el mercado.
 Atrae y retiene talento: Los empleados valoran trabajar en empresas que priorizan la
seguridad y la privacidad
 Objetivos del programa de seguridad de la información
 Confidencialidad: Proteger la información para evitar accesos no autorizados,
asegurando que solo personas autorizadas puedan acceder a ella.
 Integridad: Asegurar la precisión y confiabilidad de la información, evitando su
alteración o destrucción.
 Disponibilidad: Garantizar que la información esté disponible cuando se necesita,
incluso en caso de un incidente de seguridad.
LA SEGURIDAD COMO FACTOR DE NEGOCIO
Security as a Business Enable
Un programa de la seguridad de la información debe estar alineado a los objetivos de la

organización y tener un enfoque basado en riesgos
Una forma de lograr aprobar presupuesto y llevar acabo el programa de seguridad de la

información es entender la seguridad como factor de negocio
(Security as a Business Enable) en donde vemos que la seguridad no es solo un compromiso de

cumplimiento o carga para la organización , si no un elemento que potencia y habilita el
crecimiento de la misma
Security as a Businnes Enabler
 Generar confianza
 Abrir nuevas oportunidades
 Proteger la marca
 Habilitar la innovación
 # Objetivos del Programa de Seguridad de la Información
 ## 1. Salvaguardar la Confidencialidad
 **Meta:** Garantizar la protección contra accesos no autorizados, preservando la
privacidad y el secreto de la información.
 **Acciones:**
 - Implementar controles de acceso y autenticación.
 - Encriptar datos sensibles durante su almacenamiento y transmisión.
 - Establecer políticas claras de manejo de información confidencial.
 ## 2. Garantizar la Integridad de los Datos
 **Meta:** Asegurar que los datos sean exactos y completos, evitando alteraciones
indebidas durante su ciclo de vida.
 **Acciones:**
 - Implementar mecanismos de verificación y validación de datos.
 - Establecer procedimientos para la actualización segura de la información.
 - Realizar auditorías regulares para detectar posibles cambios no autorizados.
 ## 3. Garantizar la Disponibilidad de la Información
 **Meta:** Asegurar el acceso oportuno y confiable a los datos por parte de usuarios
autorizados cuando sea necesario.
 **Acciones:**
 - Implementar redundancias y sistemas de respaldo.
 - Establecer protocolos de respuesta ante incidentes para minimizar el tiempo de
inactividad.
 - Monitorear continuamente la infraestructura para prevenir y mitigar posibles fallas.
 ## 4. Alineación con los Objetivos Organizacionales
 **Meta:** Alinear el programa de seguridad de la información con los objetivos
estratégicos de la organización.
 **Acciones:**
 - Integrar la seguridad de la información en la planificación estratégica.
 - Definir métricas de desempeño que demuestren la contribución de la seguridad a los
objetivos organizacionales.
 - Adaptar el programa a los cambios en la estructura y metas de la organización.
 ## 5. Enfoque Basado en Riesgos
 **Meta:** Gestionar los recursos de seguridad de manera efectiva y proporcional al
valor y sensibilidad de la información.
 **Acciones:**
 - Realizar evaluaciones periódicas de riesgos y vulnerabilidades.
 - Priorizar la implementación de controles según la criticidad de los activos de
información.
 - Ajustar continuamente el programa en función de las cambiantes amenazas y riesgos.
 ## 6. Seguridad como Factor de Negocio
 **Meta:** Posicionar la seguridad como un habilitador del crecimiento y éxito
empresarial.
 **Acciones:**
 - Comunicar los beneficios comerciales de la seguridad a las partes interesadas.
 - Obtener certificaciones de seguridad para acceder a nuevos mercados.
 - Integrar la seguridad en la cultura organizacional, demostrando su valor como parte
integral de los procesos diarios.
 ## 7. Protección de la Marca y Reputación
 **Meta:** Evitar brechas de seguridad que puedan impactar negativamente la marca y
reputación de la empresa.
 **Acciones:**
 - Implementar medidas de seguridad para prevenir incidentes.
 - Establecer un plan de respuesta a incidentes efectivo.
 - Utilizar el programa de seguridad como un diferenciador positivo en el mercado.
 ## 8. Facilitar la Adopción de Nuevas Tecnologías
 **Meta:** Permitir la incorporación segura de nuevas tecnologías y enfoques de
negocio.
 **Acciones:**
 - Evaluar la seguridad de las nuevas tecnologías antes de su implementación.
 - Asegurar la compatibilidad de las soluciones de seguridad con las innovaciones
tecnológicas.
 - Proporcionar capacitación continua al personal sobre las mejores prácticas de
seguridad.
 ## 9. Desarrollar un Modelo de Madurez en Seguridad
 **Meta:** Avanzar hacia un nivel de madurez que garantice una protección efectiva de
los activos de la organización.
 **Acciones:**
 - Evaluar periódicamente la eficacia de los controles de seguridad.
 - Implementar mejoras continuas en el programa basadas en lecciones aprendidas de
incidentes y auditorías.
 - Fomentar una cultura de seguridad que promueva la responsabilidad individual y
colectiva.
 Un programa de seguridad de la información efectivo no solo protege los activos de
una organización, sino que también contribuye al crecimiento, la confianza del cliente
y el éxito continuo en el mercado.
 Como implemento seguridad en mi organizacion?
 Como evito ser hackeado?
 Que es esto de los ransomware?
 Como me protejo ante todas estas amenazas?
La respuesta Crear un programa de seguridad de la información visto desde la perspectiva de

negocio en una organizacion
CONCEPTOS BASICOS
Objetivos de la seguridad de la información
CONFIDENCIALIDAD : Proteger los datos de accesos no autorizados, preservando la

privacidad y secreto
INTEGRIDAD: Los datos sean exactos y completos, evitando alteraciones indebidas durante su
ciclo de vida
DISPONIBILIDAD: Acceso oportuno y confiable a los datos por usuarios autorizados cuando
se necesiten
DEFINICION
Según el Instituto nacional de estandares y tecnoligias de los Estados unidos (NIST por sus
siglas en inglés, National Institute of Standards and Technology
Un programa de seguridad de la información es un conjunto de politicas de gestion,procesos

y controles , diseñados para proteger la Confidencialidad, integridad, y disponibilidad de la
información y los sistemas de información de una organización
Debe estar alineado a los objetivos de la organización y diseñado para abordar los riesgos
especificos a los que estan expuestos estos objetivos, con un enfoque o buenas practicas
de gestión de riesgo debe asegurar la implementación de controles efectivos que requieran
estos objetivos
Enfoque basado en el riesgo es fundamental para gestionar los recursos de seguridad ,
2. Objetivos del programa de seguridad de la información
2.1. Propiedades básicas de la seguridad de la información
Confidencialidad: Proteger los datos de accesos no autorizados, preservando la privacidad y

secreto.
Integridad: Los datos sean exactos y completos, evitando alteraciones indebidas durante su
ciclo de vida.
Disponibilidad: Acceso oportuno y confiable a los datos por usuarios autorizados cuando se
necesiten.
2.2. ¿Porque crear un programa de seguridad de la información?
Según el instituto nacional de estándar y tecnologías de los estados unidos, un programa de

seguridad de la información, es un conjunto de políticas, gestión, procesos y controles que esta
dirigidos a proteger la confidencialidad, integridad y disponibilidad de la información y los
sistemas de información de una organización.
2.3. Puntos clave para el ámbito de negocio
Un programa de seguridad de la información debe estar alineados a los objetivos de la

organización y diseñado para abordar los riesgos específicos a los que están expuestos estos
objetivos.
El enfoque basado en el riesgo es fundamental para gestionar los recursos de seguridad,

además para evaluar el valor de esta información, que tan fuertes o estrictos deben ser.
2.4. La seguridad como factor de riesgo
(Security as a business Enabler) es la justificación de como la seguridad no es solo un

compromiso de cumplimiento o una carga para la organización, al contrario, es un elemento
que potencia y habilita el crecimiento de la organización.
• Generar confianza
• Abrir nuevas oportunidades
• Proteger la marca
• Habilitar la innovación
ENFOQUE BASADO EN RIESGOS
Es Fundamental ya que permite evaluar la sensibilidad y el valor de la información y en base a

ello determinar que tanto se debe inveetir que tantos controles, que tan fuertes y avanzados
deben ser para proteger los objetivos
# Objetivos del Programa de Seguridad de la Información
## 1. Salvaguardar la Confidencialidad
**Meta:** Garantizar la protección contra accesos no autorizados, preservando la privacidad y

el secreto de la información. 🔒
**Acciones:**
- Implementar controles de acceso y autenticación.
- Encriptar datos sensibles durante su almacenamiento y transmisión.

- Establecer políticas claras de manejo de información confidencial.
## 2. Garantizar la Integridad de los Datos
**Meta:** Asegurar que los datos sean exactos y completos, evitando alteraciones indebidas
durante su ciclo de vida. 🔄
**Acciones:**
- Implementar mecanismos de verificación y validación de datos.
- Establecer procedimientos para la actualización segura de la información.
- Realizar auditorías regulares para detectar posibles cambios no autorizados.
## 3. Garantizar la Disponibilidad de la Información
**Meta:** Asegurar el acceso oportuno y confiable a los datos por parte de usuarios
autorizados cuando sea necesario. 🌐
**Acciones:**
- Implementar redundancias y sistemas de respaldo.
- Establecer protocolos de respuesta ante incidentes para minimizar el tiempo de inactividad.
- Monitorear continuamente la infraestructura para prevenir y mitigar posibles fallas.
## 4. Alineación con los Objetivos Organizacionales
**Meta:** Alinear el programa de seguridad de la información con los objetivos estratégicos

de la organización. 📈
**Acciones:**
- Integrar la seguridad de la información en la planificación estratégica.
- Definir métricas de desempeño que demuestren la contribución de la seguridad a los objetivos

organizacionales.
- Adaptar el programa a los cambios en la estructura y metas de la organización.
## 5. Enfoque Basado en Riesgos
**Meta:** Gestionar los recursos de seguridad de manera efectiva y proporcional al valor y

sensibilidad de la información. ⚖️
**Acciones:**
- Realizar evaluaciones periódicas de riesgos y vulnerabilidades.
- Priorizar la implementación de controles según la criticidad de los activos de información.

- Ajustar continuamente el programa en función de las cambiantes amenazas y riesgos.
## 6. Seguridad como Factor de Negocio
**Meta:** Posicionar la seguridad como un habilitador del crecimiento y éxito empresarial. 🚀
**Acciones:**
- Comunicar los beneficios comerciales de la seguridad a las partes interesadas.
- Obtener certificaciones de seguridad para acceder a nuevos mercados.
- Integrar la seguridad en la cultura organizacional, demostrando su valor como parte integral

de los procesos diarios.
## 7. Protección de la Marca y Reputación
**Meta:** Evitar brechas de seguridad que puedan impactar negativamente la marca y

reputación de la empresa. 🛡️
**Acciones:**
- Implementar medidas de seguridad para prevenir incidentes.
- Establecer un plan de respuesta a incidentes efectivo.
- Utilizar el programa de seguridad como un diferenciador positivo en el mercado.
## 8. Facilitar la Adopción de Nuevas Tecnologías
**Meta:** Permitir la incorporación segura de nuevas tecnologías y enfoques de negocio. 🔄💡
**Acciones:**
- Evaluar la seguridad de las nuevas tecnologías antes de su implementación.
- Asegurar la compatibilidad de las soluciones de seguridad con las innovaciones tecnológicas.
- Proporcionar capacitación continua al personal sobre las mejores prácticas de seguridad.
## 9. Desarrollar un Modelo de Madurez en Seguridad
**Meta:** Avanzar hacia un nivel de madurez que garantice una protección efectiva de los
activos de la organización. 📈🔄
**Acciones:**
- Evaluar periódicamente la eficacia de los controles de seguridad.
- Implementar mejoras continuas en el programa basadas en lecciones aprendidas de incidentes

y auditorías.
- Fomentar una cultura de seguridad que promueva la responsabilidad individual y colectiva.

Un programa de seguridad de la información efectivo no solo protege los activos de una
organización, sino que también contribuye al crecimiento, la confianza del cliente y el éxito
continuo en el mercado. 🌐💼
Propiedades básicas de seguridad de la información . CONFIDENCIALIDAD: tiene como

objetivo proteger los datos de accesos no autorizados, preservando la privacidad y secreto.
INTEGRIDAD: te garantiza que los datos sean exactos y completos, evitando alteraciones
indebidas durante su ciclo de vida.
DISPONIBILIDAD: tiene como garantía el acceso oportuno y confiable a los datos por
usuarios autorizados cuando se necesitan
Un programa de seguridad de la información es un conjunto de políticas de gestión, procesos y

controles que están diseñados para proteger la CONFIDENCIALIDAD, LA INTEGRIDAD y la
DISPONIBILIDAD de la información de y los sistemas de información de una organización y
debe estar alineado a los objetivos de la organización y tener un enfoque basado en
riesgos. . Entender la seguridad como factor de negocio (Security as a business Enabler)
Esta información es buen complemento de la clase ordenado en 5 Componentes

clave:
1. Gobierno y gestión:
 Política de seguridad: Define los objetivos y responsabilidades de la empresa en

materia de seguridad.
 Marco de gestión de riesgos: Identifica, evalúa y mitiga los riesgos de seguridad.
 Comité de seguridad: Supervisa la implementación y el cumplimiento del programa
de seguridad.
2. Protección de activos:
 Control de acceso: Define quién tiene acceso a la información y los recursos.

 Clasificación de la información: Categoriza la información según su sensibilidad.
 Protección de datos: Implementa medidas para proteger la información confidencial.
3. Seguridad de la infraestructura:
 Seguridad de redes: Protege la red informática de accesos no autorizados.

 Seguridad de endpoints: Protege los dispositivos de los usuarios, como computadoras
y teléfonos móviles.
 Seguridad de aplicaciones: Desarrolla y asegura aplicaciones web y móviles.
4. Seguridad de las operaciones:
 Gestión de incidentes: Define cómo responder a los incidentes de seguridad.

 Continuidad del negocio: Garantiza la continuidad de las operaciones en caso de un
desastre.
 Concientización y capacitación: Educa a los empleados sobre las mejores prácticas de
seguridad.
5. Monitoreo y mejora:
 Monitoreo de la seguridad: Supervisa la red y los sistemas para detectar amenazas.

 Análisis de registros: Investiga los incidentes de seguridad y aprende de ellos.
 Mejora continua: Revisa y mejora el programa de seguridad de forma regular.
Referencias gubernamentales.
Normas de la Industria.
Prácticas secundarias, estándares y buenas prácticas de la comunidad de expertos.
Diez elementos clave:
1. Políticas de seguridad, de ellas se deprenden los procedimientos.

2. Gestión de riesgos. Priorizar y gestionar la seguridad de la información. Cuánto
invertir por el valor de ella.
3. Controles de acceso. Como el criterio de mínimo privilegio.
4. Concienciación y formación de las personas.
5. Respuesta a incidentes. Preparar al equipo para atender las incidencias del negocio.
Cuáles son los riesgos más probables y prepararse para afrontarlos.
6. Recuperación ante desatres y continuidad del negocio. Proteger vidas y activos de la
organización. Cómo se crea el plan de contingenica, cuántas presonas hacen falta.
7. Seguridad física. Quién tiene acceso a dónde y a qué hora.
8. Cumplimiento normativo. De acuerdo con la industria.
9. Gestión de vulnerabilidades. Entender las fallas de nuestros procesos, no solo del
software. Las debilidades del software.
10. Seguridad en el ciclo de vida del desarrollo de software - SSDLC.
3. Componentes clave de un programa de seguridad de la

información
3.1. Componentes claves
3.1.1. Políticas de seguridad
Son las normas, directrices, la posición de la organización en como va proteger la información.
3.1.2. Gestión de riesgos
Un enfoque orientado a riesgos nos permite priorizar o comprender a lo que estamos expuestos.
· ¿Qué tan sensible es la información?
· ¿Cuál es su valor?
· ¿Qué representa para la organización?
De acuerdo a las preguntas anteriores que tanto debo invertir en controles para mitigar riesgos.
3.1.3. Control de accesos
Define quien tiene acceso a la información y los recursos.
3.1.4. Concienciación y formación

Se refiere al elemento más débil de una organización (Nosotros), debemos ser conscientes que
la seguridad de la información debe ser parte del día a día. No divulgar datos sensibles de la
organización a personas que no son de tu entorno laboral incluso del área que no los requiere.
3.1.5. Respuesta a incidentes
Nos ayuda a preparar, evitar y entender que son los riesgos, las fallas mas comunes que
podemos tener y trabajar en ello.
3.1.6. Recuperación ante desastres y continuidad del negocio
La seguridad de la información busca darle continuidad al negocio, pero también proteger los
activos de información y las personas.
3.1.7. Seguridad física
· Quien tiene permitido acceder a espacios.
· Que tanto se quedan en los registros de seguridad el ingreso de estas personas.
· ¿Quién?, ¿Cuándo?, ¿A qué hora?, tienen acceso del personal.
3.1.8. Cumplimiento normativo
Se debe tener en cuenta el criterio en el que se maneja el negocio y cuales son las leyes,
reglamentos o los estándares que debemos cumplir.
3.1.9. Gestión de vulnerabilidades
Hay que entender las fallas en las que están expuestas nuestros procesos (No necesariamente
tienen que ser software), Tener en cuenta el personal que entra a nuestra organización y
cumplir con unos protocolos de seguridad como carnet, huella, etc.
3.1.10. Seguridad en el siclo de vida de desarrollo de software (SSDLC)
El requisito funcional debe ir acompañado con un requisito de seguridad, cual es el impacto

que se expone la seguridad o los datos que va a manejar este software o el sistema.
Un programa efectivo de Seguridad de la información abarca unos componentes claves que

garantizan el éxito en el objetivo de alcanzar una certificaicon, un cumplimiento de ley o
simplemente demostrar que se siguen buenas practicas en el manejo de la seguridad de la
información en tu empresa .
A continuación se listan 10 componentes claves para la implemnteción de un programa de

seguridad de la información , cabe a notar que no son los unicos .
 Políticas de seguridad
 Gestión de riesgos
 Control de accesos
 Concienciación y formación
 respuesta a incidentes
 Recuperación ante desastres y continuidad del negocio
 Seguridad física
 Cumplimiento normativo
 Gestión de vulnerabilidades
Poiticas de seguridad
Son las reglas del juego, determinan como se va a proteger la información, y definido esto
crear los procedimientos para capacitación y manejo de los activos de la infomracíon en la
organización
Caracteristicas
 Es un documento oficial
 Aprobado por la alta gerencia
 Debe ser comunicada a todo el personal
 Su objetivo es Garantizar en la medida de la posible la disponibilidad, intergridad y
confidencialidad de la informacion de la empresa
 Establece roles y responsabilidadaes
 Establece las consecuencias de su incumplimiento
Gestión de riesgos
Un enfoque basado en riesgos, permite priorizar, entender y gestionar la seguridad de la

información enfocandose en "Que tan sencible es una información y cual es su valor, que
representa " de acuerdo a esto se podra determinar que tanto invertir en controles para mitigar
el riesgo
Caracteristcias
 Identificar, medir, analizar y gestionar los riesgos

 Establece controles de forma preventiva
4. Políticas de seguridad
Las políticas de seguridad conforman el documento que nos da la directriz de operación, define
como vamos a proteger la operación y como debemos operar sobre estas, estos documentos
deben ser socializados, comunicados, transmitidos a todos y a cada uno de los colaboradores de
la organización, incluso partes interesadas, inversionistas y la mesa directiva, a ese conjunto de
integrantes se le domina como STAKEHOLDERS.
Elementos generales que conforman la política de seguridad:
· Objetivo y alcance: Se enfoca a que se desea proteger, sobre que ámbito de las operaciones
de negocios quiere regular.
· Principios de seguridad: Son los alineamientos que se van a desarrollar en los
procedimientos, el procedimiento te indica como se debe operar la política de lo que debería
proteger.
· Roles y Responsabilidades: Son aquellas personas que están conectados a esta política,
quienes son los responsables de hacerla cumplir y validar que otros la estén cumpliendo.
· Clasificación y manejo de la información: Es donde podemos identificar la sensibilidad de
la información, que tan crítica es la información
· Acceso a la Información: Se establece una guía para los controles que debemos
implementar, se requiere múltiples factores de autenticación como lo es una tarjeta magnética o
algo mas complejo, todo depende de la información sensible.
· Gestión de incidentes de seguridad: Como se gestiona el incidente con respecto a la
operación para indicar los canales de comunicación.
· Formación de seguridad: Es la competencia que debe tener una para desarrollar esa
actividad.
· Continuidad del negocio: Da referencia al éxito mínimo necesario que debemos cumplir en
los procedimientos para que opere el proceso del negocio.
· Revisión y auditoria: Cada cuanto se le hará revisión o evaluación a esta política, Se suele
crear una política y no se suele actualizar estos documentos que nos ayuda a proteger los
activos de información relacionado al modelo de negocio.
Esto fue lo que me genero para una empresa de venta de ropa; Política General de Seguridad
de la Información
Paradise Tech
Fecha de entrada en vigor: [Fecha]
En Paradise Tech, nos comprometemos a garantizar la seguridad de la información en todas las

operaciones relacionadas con la venta y envío de ropa. Reconocemos que la seguridad de la
información es fundamental para mantener la confianza de nuestros clientes, proteger nuestra
reputación y cumplir con los requisitos legales y contractuales pertinentes. Por lo tanto,
establecemos la siguiente política general de seguridad de la información:
Compromiso de la Organización
1. La seguridad de la información es una prioridad para Paradise Tech y forma parte

integral de nuestras operaciones comerciales.
2. Nos comprometemos a proteger la confidencialidad, integridad y disponibilidad de la
información en todas sus formas, incluidos los datos de clientes, proveedores,
empleados y socios comerciales.
3. Aseguraremos que los objetivos del Sistema de Gestión de Seguridad de la
Información (SGSI) estén alineados con los objetivos de negocio de Paradise Tech,
contribuyendo así al crecimiento y la sostenibilidad de la organización.
Gestión de Riesgos
1. Implementaremos un proceso de gestión de riesgos para identificar, evaluar y mitigar

los riesgos de seguridad de la información en todas las áreas de la empresa.
2. Estableceremos controles de seguridad adecuados para proteger los activos de
información contra amenazas internas y externas.
3. Revisaremos periódicamente el SGSI para garantizar su eficacia y ajustarlo según sea
necesario para abordar los nuevos riesgos y desafíos.
Cumplimiento Normativo y Contractual
1. Paradise Tech se compromete a cumplir con todas las leyes, regulaciones y estándares
relacionados con la seguridad de la información, incluidos, entre otros, los requisitos
de la norma ISO 27001 y los estándares NIST.
2. Aseguraremos que todos los empleados, contratistas y terceros que manejen
información de Paradise Tech cumplan con las políticas y procedimientos de seguridad
de la información establecidos.
3. Garantizaremos que los acuerdos contractuales con proveedores y socios comerciales
incluyan cláusulas de seguridad de la información que protejan los intereses de
Paradise Tech y de sus clientes.
Responsabilidades
1. La alta dirección de Paradise Tech será responsable de establecer, mantener y mejorar
continuamente el SGSI, así como de proporcionar los recursos necesarios para su
implementación efectiva.
2. Todos los empleados serán responsables de cumplir con las políticas y procedimientos
de seguridad de la información, así como de reportar cualquier incidente o
vulnerabilidad de seguridad que puedan identificar.
3. El equipo de seguridad de la información será responsable de supervisar la
implementación del SGSI, realizar auditorías internas y proporcionar orientación y
capacitación en materia de seguridad de la información.
En Paradise Tech, estamos comprometidos con la seguridad de la información y nos

esforzamos por mantener los más altos estándares de seguridad en todas nuestras operaciones.
Esta política de seguridad de la información es un reflejo de nuestro compromiso con la
excelencia y la protección de los intereses de nuestros clientes, empleados y socios
comerciales.
Firmado,
[Nombre del CEO o Alta Dirección] Paradise Tech
Esta política general de seguridad de la información establece el marco general para la gestión
de la seguridad de la información en Paradise Tech y proporciona una base sólida para el
desarrollo e implementación del Sistema de Gestión de Seguridad de la Información (SGSI).
Políticas de seguridad
Conforman el documento que nos da la directriz de operación, define como vamos a proteger la
información y como debemos operar sobre estas.
Deben ser socializados, comunicados y trasmitidos a todos y cada uno de los involucrados en la
organización, incluidas partes interesados, inversionistas y mesa directiva (stakeholders).
Elementos generales que deben incluir una Política de

Seguridad de la Información.
 Objetivos y alcance: Enfocado a cual actividad que es lo que quiera proteger sobre que
ámbito quiere estar.
 Principios de Seguridad: Te dice lo lineamientos que se van a desarrollar en los
procedimientos. Indica como debes operar. Te dice lo que deberías proteger.
 Roles y responsabilidades: Te dice quienes están directamente conectados a este
política. Responsables de hacerla cumplir, respetarla y validar que otros la estén
cumpliendo.
 Clasificación y Manejo de la Información: Apartado donde podemos identificar la
sensibilidad de la información y su criticidad.
 Acceso a la información: Entendiendo la criticidad de la misma, puede establecer una
guía para los controles que debemos implementar. Si se necesitan múltiples factores de
identificación, una tarjeta magnética 🧲 o lago más completa.
 Gestión de incidentes de seguridad: Como vamos a gestionar el incidente relacionado a
la operación. Identificar los canales de comunicación.
 Formación de Seguridad: Indica la competencia que debe tener una persona para
desarrollar una actividad.
 Continuidad de negocio: No debe verse como algo apartado a las políticas generales.
Todo forma parte agrega a que el negocio continúe. Nos puede indicar el requisito
mínimo para que opera esta parte del negocio.
 Revisión y auditoria: Definir la periodicidad e la que se revisaran y evaluar la
efectividad de estas políticas. El modelo de negocio, cambia por lo que debemos
actualizar estos documentos que protegen los activos de información relacionado al
modelo de negocio. La políticas se deben de ver como un documento vivo, con un ciclo
de vida del mantenimiento de esos documentos.
Las políticas deben verse como documentos vivos, por lo que deben tener gestionados los
controles de versiones, para saber quien los modifico y quienes tiene acceso.
Es importante incluir la clausula de incumplimiento y quien va a atender en caso de

comprobarse una falta de cumplimiento por parte de uno de los colaboradores.
Importante tener un historial de revisiones acompañados de quien lo elaboro, quien lo reviso y

quien lo aprobó. Para entender responsables y actores en la construcción de las políticas.
Cada política puede tener un esquema de acuerdo a lo que quiera proteger.
Puedes apoyarte de la IA para acelera la construcción de las políticas, entendiéndose como una
guía y no como una absoluto.
El prompt es:
Eres un experto en Ciberseguridad Seguridad de la Información, certificado con los estándares

de seguridad de la industria como ISO 27001, COBIT y con amplio conocimiento en los
documentos y estándares del Instituto Nacional de Estándares y Tecnología NIST de los
Estados Unidos, además cuentas con una MVA que e da la claridad suficiente para gestionar
mentas de negocio a cualquier organización, con esto presente desarrolla los documentos que
voy a solicitar a continuación:
Y luego:
Genera un modelo de una política de seguridad de la información para una empresa llamada
(nombre de la empresa) dedicada a la (indicar aquí su giro) esta política debe ser clara en
compromiso de la organización con la gestión de lograr con el Sistema de Gestión de
Seguridad de la Información (SGSI) tales como asegurarse que lo objetivos del SGSI estén
alineados con los objetivos del negocio, el desarrollo del programa de seguridad de la
información y la gestión de riesgos, que todos los acores directos e indirectos cumplan con las
normas establecidos, y que se cumplan los requisitos legales y contractuales alrededor de la
privacidad de la información y el habeas data.
Gestión de eventos adversos para mitigar potenciales daños.
800-601 NIST
Preparación
Detección y análisis. Qué tan grave es. Hay tres niveles de atención usuales:
Primer nivel.
Segundo nivel si el problema es más complejo.

Tercer nivel, para problema complejo donde no se tiene determinada la causa raíz.
Contención, erradicación y recuperación. Lo primero es contener el daño o aislar el equipo que

minimice drásticamente el daño. La recuperación se tiene al volver con la operación normal.
Actividad post-incidente.
Tener canales de comunicación eficientes. Construir documento de análisis post-mórtem. Las

acciones y aprendizaje nos retroalimentan sobre qué hacer para minimizar una exposición y
que no vuelva a ocurrir.
5. Respuestas a incidentes
Son eventos adversos para mitigar potenciales daños recuperar operaciones y aprender de estas
lecciones para mejoras futuras.
5.1. Preparación
El plan que se va a desarrollar cuando ocurra un incidente.
· ¿Quién puede comunicar el incidente?
· ¿Quién tiene la autorización de dar a conocer a sus clientes lo que esta ocurriendo?
Entender los riesgos para evitar esos incidentes.
5.2. Detección y análisis
Hay softwares especializados que está recopilando eventos, esos eventos son evaluados y
pueden indicar el tipo de problema según la necesidad de atención. Se usan normalmente 3
niveles de atención:
· Primer nivel: Primera línea de atención al usuario o los operadores que leen las señales, ellos
darán solución a problemas mínimos ocurridos.
· Segundo nivel: Al no ser solucionado el problema en el primer nivel, se le dará información a

personal mas especializado al producto o proceso, para mitigar el daño y ar solución.
· Tercer nivel: Cuando se llega a este punto porque no se detecta la raíz del problema, se
requiere investigación y a su vez un equipo especializado.
1.3. Contención, erradicación y recuperación
· Contención: contener el equipo que está ocasionando el incidente.
· Erradicación: Como evitar que este incidente suceda de nuevo.
· Recuperación: Se finalizará la operación de recuperación de las fases normales y se******

indicará que estamos fuera de peligro.
1.4. Actividad post-incidente

· Crear canales útiles en los canales de contención.
· Pregunta entre colegas las dudas, soluciones y problemas sucedidos anteriormente.
· Es necesario llamar a un equipo de expertos.
Construir un documento de análisis post-mortem, es un documento que me explica la secuencia
Me gusto como en este curso se explica el ciclo de vida de la respuesta a incidentes
Les comparto un pequeño ejemplo aplicado a los sistemas:

1. Preparación:
 Desarrollar un plan de respuesta a incidentes: El plan debe definir los roles y

responsabilidades, los procedimientos de respuesta y las herramientas que se utilizarán.
 Identificar los activos críticos: Es importante identificar los activos que son más
importantes para la organización y que deben protegerse con prioridad.
 Realizar ejercicios de respuesta a incidentes: Los ejercicios ayudan a probar el plan
de respuesta y a identificar las áreas que necesitan mejorar.
2. Detección:
 Implementar medidas de detección: Se deben implementar medidas para detectar los

incidentes de seguridad de manera rápida y eficiente.
 Monitorear los sistemas y la red: Es importante monitorizar los sistemas y la red para
identificar cualquier actividad anómala.
 Investigar las alertas: Se deben investigar todas las alertas de seguridad para
determinar si se ha producido un incidente.
3. Contención:
 Aislar los sistemas afectados: Es importante aislar los sistemas afectados para evitar
que el incidente se propague.
 Deshabilitar las cuentas de usuario comprometidas: Se deben deshabilitar las
cuentas de usuario que se han visto comprometidas.
 Contener el malware: Se debe contener el malware para evitar que se propague a
otros sistemas.
4. Erradicación:
 Eliminar el malware: Se debe eliminar el malware de los sistemas afectados.

 Limpiar los sistemas afectados: Se deben limpiar los sistemas afectados para eliminar
cualquier rastro del incidente.
 Restaurar los sistemas a su estado original: Se deben restaurar los sistemas a su
estado original antes del incidente.
5. Recuperación:
 Desarrollar un plan de recuperación: El plan de recuperación debe definir cómo se

restaurarán los sistemas y los datos a su estado original.
 Implementar el plan de recuperación: Se debe implementar el plan de recuperación
para restaurar los sistemas y los datos a su estado original.
 Aprender del incidente: Es importante aprender del incidente para mejorar el plan de
respuesta a incidentes y prevenir futuros incidentes.
Respuesta a incidentes
Se refiere a la gestión de eventos adversos, para mitigar potenciales daños, recuperar
operaciones y aprender de estas lecciones para mejoras futuras.
Me gusto como en este curso se explica el ciclo de vida de la respuesta a incidentes
Les comparto un pequeño ejemplo aplicado a los sistemas:

1. Preparación:
 Desarrollar un plan de respuesta a incidentes: El plan debe definir los roles y

responsabilidades, los procedimientos de respuesta y las herramientas que se utilizarán.
 Identificar los activos críticos: Es importante identificar los activos que son más
importantes para la organización y que deben protegerse con prioridad.
 Realizar ejercicios de respuesta a incidentes: Los ejercicios ayudan a probar el plan
de respuesta y a identificar las áreas que necesitan mejorar.
2. Detección:
 Implementar medidas de detección: Se deben implementar medidas para detectar los

incidentes de seguridad de manera rápida y eficiente.
 Monitorear los sistemas y la red: Es importante monitorizar los sistemas y la red para
identificar cualquier actividad anómala.
 Investigar las alertas: Se deben investigar todas las alertas de seguridad para
determinar si se ha producido un incidente.
3. Contención:
 Aislar los sistemas afectados: Es importante aislar los sistemas afectados para evitar
que el incidente se propague.
 Deshabilitar las cuentas de usuario comprometidas: Se deben deshabilitar las
cuentas de usuario que se han visto comprometidas.
 Contener el malware: Se debe contener el malware para evitar que se propague a
otros sistemas.
4. Erradicación:
 Eliminar el malware: Se debe eliminar el malware de los sistemas afectados.

 Limpiar los sistemas afectados: Se deben limpiar los sistemas afectados para eliminar
cualquier rastro del incidente.
 Restaurar los sistemas a su estado original: Se deben restaurar los sistemas a su
estado original antes del incidente.
5. Recuperación:
 Desarrollar un plan de recuperación: El plan de recuperación debe definir cómo se

restaurarán los sistemas y los datos a su estado original.
 Implementar el plan de recuperación: Se debe implementar el plan de recuperación
para restaurar los sistemas y los datos a su estado original.
 Aprender del incidente: Es importante aprender del incidente para mejorar el plan de
respuesta a incidentes y prevenir futuros incidentes.
Respuesta a incidentes
Se refiere a la gestión de eventos adversos, para mitigar potenciales daños, recuperar
operaciones y aprender de estas lecciones para mejoras futuras.
Ciclo de vida de respuesta a incidentes

1. Preparación: Del equipo que va atender los incidentes, el plan que vamos a desarrollar
cuando curra, quien puede comunicar el incidente. Entender los riesgos para evitar y
mitigar los incidentes.
2. Detección y análisis: Como nos enteramos. Tenemos software especializado que
recoge los eventos. Esos son evaluados y nos indica si es un problema que puede ser
atendido de una vez o debe ira a un análisis posterior. Frecuencia de los eventos ayuda
a detectar que tan grave es el incidente. Recomendable clasificar los incidentes para
escalar según su complejidad.
3. Contención, erradicación y recuperación: Siempre que se atienda un incidente es
importante hacer una contención del daño del mismo. Una vez contenido, empezamos a
entender como evitar que nos vuelva a suceder, eso es la erradicación y finalizamos
con la recuperación de las operaciones normales e indicamos que estamos fuera de
peligro.
4. Actividad post-incidente: Útil tener canales de comunicación entre todos los niveles.
Análisis de las lecciones aprendidas. Un documento que explique todo lo que paso en
el momento, las lecciones aprendidas y los siguientes pasos. Esto nos regresa a la fase
de preparación.
Cuando atendemos un incídete lo más importante es lo que aprendimos de este. Y generar un

documentos post-mortem o post incídete.
Otro elemento importante es una línea de tiempo incluido, quien reporto, quien atendió, que
acciones se ejecutaron. Identificar la causa raíz, si es conocida.
❓ Recomendable usar la técnica de los 5 porqués
Ciclo de vida de respuesta a incidentes

1. Preparación: Del equipo que va atender los incidentes, el plan que vamos a desarrollar
cuando curra, quien puede comunicar el incidente. Entender los riesgos para evitar y
mitigar los incidentes.
2. Detección y análisis: Como nos enteramos. Tenemos software especializado que
recoge los eventos. Esos son evaluados y nos indica si es un problema que puede ser
atendido de una vez o debe ira a un análisis posterior. Frecuencia de los eventos ayuda
a detectar que tan grave es el incidente. Recomendable clasificar los incidentes para
escalar según su complejidad.
3. Contención, erradicación y recuperación: Siempre que se atienda un incidente es
importante hacer una contención del daño del mismo. Una vez contenido, empezamos a
entender como evitar que nos vuelva a suceder, eso es la erradicación y finalizamos
con la recuperación de las operaciones normales e indicamos que estamos fuera de
peligro.
4. Actividad post-incidente: Útil tener canales de comunicación entre todos los niveles.
Análisis de las lecciones aprendidas. Un documento que explique todo lo que paso en
el momento, las lecciones aprendidas y los siguientes pasos. Esto nos regresa a la fase
de preparación.
Cuando atendemos un incídete lo más importante es lo que aprendimos de este. Y generar un
documentos post-mortem o post incídete.
Otro elemento importante es una línea de tiempo incluido, quien reporto, quien atendió, que
acciones se ejecutaron. Identificar la causa raíz, si es conocida.
❓ Recomendable usar la técnica de los 5 porqués
Abarca la identificación, evaluación, tratamiento y reporte de vulnerabilidades.
Vulnerabilidad: una debilidad en el sistema, software que estamos usando. Puede ser
explotada para causar daño.
Ciclo de la gestión de vulnerabilidades:
Framework de Gestión del NIST
 Identificar - Como por la versión del software que se tiene.

 Clasificar - Qué tan severa es para comprender.
 Priorizar - Cuál se atiende y en qué orden. Impacto que puede tener en los activos de
información
 Remediar -
 Validar - Revisar que las contramedidas sean suficientes para afrontar el caso.
CVE - Common vulnerabilities and exposures. Buscar, entender las vulnerabilidades, cómo
resolverlas.
CVSS - El proyecto explica cómo se calcula las vulnerabilidades. Hay métricas base que
permiten comprender el vector de ataque de cada vulnerabilidad y comprender la severidad
para la empresa. Privilegios que requiere. Cómo podemos afrontarla. Cómo afecta a la
confidencialidad, disponibilidad e integridad. Expresa qué tan crítica es la vulnerabilidad.
Se puede hacer búsquedas por tipo de aplicación o nombre, base de datos de vulnerabilidades,
con un código único que identifica a cada una. Este ayuda a identificar la vulnerabilidad para
priorizar su atención.
Exploits o pruebas de concepto para determinar qué tan fácil puede explotarse una
vulnerabilidad. Se puede hacer búsqueda de ellas para desplegar las que están registradas en el
sistema.
Es importante tener una política de gestión de vulnerabilidades. Se recomienda tener algún

sistema automatizado para identificar y priorizar la atención de estas. Hay herramientas
opensource para ayudarse, ver las lecturas recomendadas.
La vulnerabilidaad más grande, seguirá siendo: "El ser humano" Por eso la capacitación en
temas de ciberseguridad debería parte del proceso de inducción de cualquier trabajador, cuando
se incorpora a una organización. Gestión de vulnerabilidades:
Definición: La gestión de vulnerabilidades es un proceso continuo y proactivo para identificar,
evaluar, corregir y reportar las vulnerabilidades en los sistemas de información de una
organización.
Objetivo: Minimizar el riesgo de que las vulnerabilidades sean explotadas por los atacantes
para comprometer la seguridad de la información.
Componentes clave:
 Identificación de vulnerabilidades: Se pueden utilizar diferentes técnicas para
identificar las vulnerabilidades, como escaneos de vulnerabilidades, pruebas de
penetración y análisis de código fuente.
 Evaluación de vulnerabilidades: Se debe evaluar la severidad de las vulnerabilidades
en función del riesgo que representan para la organización.
 Corrección de vulnerabilidades: Se pueden aplicar diferentes medidas para corregir
las vulnerabilidades, como instalar parches de seguridad, actualizar software o
configurar los sistemas de forma segura.
 Reporte de vulnerabilidades: Es importante reportar las vulnerabilidades a los
proveedores de software y a las autoridades correspondientes.
 ¿Quién nos amenaza? ¿Qué impacto tiene en el negocio?
 Amenaza - Cualquier circunstancia, condición o evento con el potencial de causar
daño, pérdida o alteración no deseada de los datos. La realiza un tercero para
aprovecharse, pero también pueden ser originadas en causas naturales.
 Riesgo - La posibilidad de que una amenaza explote o se aproveche de una
vulnerabilidad para causar un impacto negativo. Pérdidas financieras, a la marca,
operacionales, pueden ser muchas. ¿Cuánto nos cuesta?
 Gestión del Riesgo - Evitarlo, pero no es común. Eso puede implicar parar
operaciones. Transferirlo - Es una especia de póliza, transferimos el riesgo a una
aseguradora, pagando una póliza. La más común es gestionar el riesgo, o
sea, analizar las amenazas, su probabilidad de ocurrencia.
 Riesgo intrínseco - El que asumimos sin implementar ninguna protección.
 Si aplicamos controles, el riesgo no se elimina, pero se minimiza o mitiga su efecto.
 El impacto restante se llama “riesgo residual” luego de aplicar las salvaguardas y
controles.
El riesgo se define como la probabilidad de que ocurra un evento no deseado y las

consecuencias negativas que este evento podría tener. En otras palabras, es la posibilidad de
que algo malo suceda y cause daño o pérdida.
Componentes del riesgo vistos en clases anteriores:
 Amenaza: Es un evento o fenómeno que tiene el potencial de causar daño o pérdida.

 Vulnerabilidad: Es una debilidad o deficiencia que hace que un activo sea susceptible
a una amenaza.
 Impacto: Es el daño o la pérdida que se puede producir si una amenaza explota una
vulnerabilidad.
 Gestión de eventos adversos para mitigar potenciales daños.
 800-601 NIST
 Preparación
 Detección y análisis. Qué tan grave es. Hay tres niveles de atención usuales:
 Primer nivel.
 Segundo nivel si el problema es más complejo.
 Tercer nivel, para problema complejo donde no se tiene determinada la causa raíz.
 Contención, erradicación y recuperación. Lo primero es contener el daño o aislar el
equipo que minimice drásticamente el daño. La recuperación se tiene al volver con la
operación normal.
 Actividad post-incidente.
 Tener canales de comunicación eficientes. Construir documento de análisis post-
mórtem. Las acciones y aprendizaje nos retroalimentan sobre qué hacer para minimizar
una exposición y que no vuelva a ocurrir.
5. Respuestas a incidentes
Son eventos adversos para mitigar potenciales daños recuperar operaciones y aprender de estas
lecciones para mejoras futuras.
5.1. Preparación
El plan que se va a desarrollar cuando ocurra un incidente.
· ¿Quién puede comunicar el incidente?
· ¿Quién tiene la autorización de dar a conocer a sus clientes lo que esta ocurriendo?
Entender los riesgos para evitar esos incidentes.
5.2. Detección y análisis
Hay softwares especializados que está recopilando eventos, esos eventos son evaluados y
pueden indicar el tipo de problema según la necesidad de atención. Se usan normalmente 3
niveles de atención:
· Primer nivel: Primera línea de atención al usuario o los operadores que leen las señales, ellos
darán solución a problemas mínimos ocurridos.
· Segundo nivel: Al no ser solucionado el problema en el primer nivel, se le dará información a

personal mas especializado al producto o proceso, para mitigar el daño y ar solución.
· Tercer nivel: Cuando se llega a este punto porque no se detecta la raíz del problema, se
requiere investigación y a su vez un equipo especializado.
1.3. Contención, erradicación y recuperación
· Contención: contener el equipo que está ocasionando el incidente.
· Erradicación: Como evitar que este incidente suceda de nuevo.
· Recuperación: Se finalizará la operación de recuperación de las fases normales y se******

indicará que estamos fuera de peligro.
1.4. Actividad post-incidente
· Crear canales útiles en los canales de contención.
· Pregunta entre colegas las dudas, soluciones y problemas sucedidos anteriormente.
· Es necesario llamar a un equipo de expertos.
Construir un documento de análisis post-mortem, es un documento que me explica la secuencia
Abarca la identificación, evaluación, tratamiento y reporte de vulnerabilidades.
Vulnerabilidad: una debilidad en el sistema, software que estamos usando. Puede ser
explotada para causar daño.
Ciclo de la gestión de vulnerabilidades:

Framework de Gestión del NIST
 Identificar - Como por la versión del software que se tiene.

 Clasificar - Qué tan severa es para comprender.
 Priorizar - Cuál se atiende y en qué orden. Impacto que puede tener en los activos de
información
 Remediar -
 Validar - Revisar que las contramedidas sean suficientes para afrontar el caso.
CVE - Common vulnerabilities and exposures. Buscar, entender las vulnerabilidades, cómo
resolverlas.
CVSS - El proyecto explica cómo se calcula las vulnerabilidades. Hay métricas base que
permiten comprender el vector de ataque de cada vulnerabilidad y comprender la severidad
para la empresa. Privilegios que requiere. Cómo podemos afrontarla. Cómo afecta a la
confidencialidad, disponibilidad e integridad. Expresa qué tan crítica es la vulnerabilidad.
Se puede hacer búsquedas por tipo de aplicación o nombre, base de datos de vulnerabilidades,
con un código único que identifica a cada una. Este ayuda a identificar la vulnerabilidad para
priorizar su atención.
Exploits o pruebas de concepto para determinar qué tan fácil puede explotarse una
vulnerabilidad. Se puede hacer búsqueda de ellas para desplegar las que están registradas en el
sistema.
Es importante tener una política de gestión de vulnerabilidades. Se recomienda tener algún

sistema automatizado para identificar y priorizar la atención de estas. Hay herramientas
opensource para ayudarse, ver las lecturas recomendadas.
Gestión de vulnerabilidades:
Definición: La gestión de vulnerabilidades es un proceso continuo y proactivo para identificar,
evaluar, corregir y reportar las vulnerabilidades en los sistemas de información de una
organización.
Objetivo: Minimizar el riesgo de que las vulnerabilidades sean explotadas por los atacantes
para comprometer la seguridad de la información.
Componentes clave:
 Identificación de vulnerabilidades: Se pueden utilizar diferentes técnicas para

identificar las vulnerabilidades, como escaneos de vulnerabilidades, pruebas de
penetración y análisis de código fuente.
 Evaluación de vulnerabilidades: Se debe evaluar la severidad de las vulnerabilidades
en función del riesgo que representan para la organización.
 Corrección de vulnerabilidades: Se pueden aplicar diferentes medidas para corregir
las vulnerabilidades, como instalar parches de seguridad, actualizar software o
configurar los sistemas de forma segura.
 Reporte de vulnerabilidades: Es importante reportar las vulnerabilidades a los
proveedores de software y a las autoridades correspondientes.
 ¿Quién nos amenaza? ¿Qué impacto tiene en el negocio?
 Amenaza - Cualquier circunstancia, condición o evento con el potencial de causar
daño, pérdida o alteración no deseada de los datos. La realiza un tercero para
aprovecharse, pero también pueden ser originadas en causas naturales.
 Riesgo - La posibilidad de que una amenaza explote o se aproveche de una
vulnerabilidad para causar un impacto negativo. Pérdidas financieras, a la marca,
operacionales, pueden ser muchas. ¿Cuánto nos cuesta?
 Gestión del Riesgo - Evitarlo, pero no es común. Eso puede implicar parar
operaciones. Transferirlo - Es una especia de póliza, transferimos el riesgo a una
aseguradora, pagando una póliza. La más común es gestionar el riesgo, o
sea, analizar las amenazas, su probabilidad de ocurrencia.
 Riesgo intrínseco - El que asumimos sin implementar ninguna protección.
 Si aplicamos controles, el riesgo no se elimina, pero se minimiza o mitiga su efecto.
 El impacto restante se llama “riesgo residual” luego de aplicar las salvaguardas y
controles.
El riesgo se define como la probabilidad de que ocurra un evento no deseado y las

consecuencias negativas que este evento podría tener. En otras palabras, es la posibilidad de
que algo malo suceda y cause daño o pérdida.
Componentes del riesgo vistos en clases anteriores:
 Amenaza: Es un evento o fenómeno que tiene el potencial de causar daño o pérdida.

 Vulnerabilidad: Es una debilidad o deficiencia que hace que un activo sea susceptible
a una amenaza.
 Impacto: Es el daño o la pérdida que se puede producir si una amenaza explota una
vulnerabilidad.
Visión desde la directiva, gerencia media y áreas operacionales.
Arriba somos más estratégicos, bajando somos más operacionales.
4 fases para la gestión del riesgo:
1. Enmarcar el riesgo. Establecer el contexto para las decisiones.

2. Evaluación del riesgo.
3. Responder al riesgo. Las medidas adecuadas que tomaremos, de acuerdo con
nuestra tolerancia al riesgo.
4. Supervisión del riesgo. Ciclo de Deming de la mejora continua. Eficacia continua de la
respuesta a los riesgos e identificar los cambios.
5. Diferencias importantes para apreciar
6. Seguridad de la información: son todos los activos de información, digitales y
físicos.
7. Seguridad informática: se enfoca en la representación digital del dato.
8. 1. Gestión de riesgo
9.
10. <img height="397" width="457"
src="file:///C:/Users/USER/AppData/Local/Temp/msohtmlclip1/01/clip_image002.png
" />
11. Las 4 fases para la gestión del riesgo:
12. · Enmarcar el riesgo: Establecer el contexto para las decisiones basadas en el riesgo.
13. · Evaluación del riesgo: Con objetivo de determinar el nivel de riesgo a partir de las
amenazas y vulnerabilidades.
14. · Responder al riesgo: Determinar las medidas adecuadas alineadas a la tolerancia al
riesgo de la organización.
15. · Supervisión del riesgo: Ciclo de Deming de la mejora continua. Determinar la
eficacia continua de la respuesta a los riesgos e identificar los cambios que afectan el
riesgo.
Visión de la gestión del riesgo desde diferentes niveles de la organización:

Directiva:
 Enfoque estratégico: La directiva se preocupa por los riesgos que pueden afectar la
estrategia global de la organización, como la entrada de nuevos competidores o
cambios en las regulaciones.
 Toma de decisiones: La directiva utiliza la información sobre riesgos para tomar
decisiones estratégicas, como la inversión en nuevos productos o la expansión a nuevos
mercados.
 Tolerancia al riesgo: La directiva establece la tolerancia al riesgo de la organización,
que es el nivel de riesgo que la organización está dispuesta a aceptar.
Gerencia media:
 Enfoque táctico: La gerencia media se preocupa por los riesgos que pueden afectar las
operaciones diarias de la organización, como errores humanos o fallos técnicos.
 Implementación de estrategias: La gerencia media implementa las estrategias de
gestión del riesgo establecidas por la directiva.
 Control de riesgos: La gerencia media se encarga de controlar los riesgos mediante la
implementación de medidas de seguridad y la monitorización de los indicadores de
riesgo.
Áreas operacionales:
 Enfoque operativo: Las áreas operacionales se preocupan por los riesgos que pueden
afectar su trabajo diario, como accidentes de trabajo o interrupciones del servicio.
 Identificación de riesgos: Las áreas operacionales son las responsables de identificar
los riesgos que pueden afectar su trabajo.
 Comunicación de riesgos: Las áreas operacionales deben comunicar los riesgos a la
gerencia media para que se puedan tomar las medidas necesarias.
¿Qué se entiende por Riesgo?

 El riesgo 🚨, en términos generales, se refiere a la posibilidad de que ocurra un evento
que tenga un impacto negativo 😬. En el contexto de seguridad de la información, el
riesgo está relacionado con las amenazas que pueden explotar vulnerabilidades y
causar daño, pérdida o alteración no deseada de datos.
Las estrategias para manejar el riesgo incluyen:
1. Evitar el riesgo: Aunque no siempre es posible, evitar actividades que presenten

riesgos innecesarios puede ser una forma efectiva de gestión. Sin embargo, esto a veces
puede privar de oportunidades 🚫.
2. Transferir el riesgo: Consiste en trasladar el riesgo a otra entidad. Un ejemplo es el
seguro, donde se compra una póliza para transferir el riesgo financiero asociado a
ciertos eventos 🔄.
3. Gestionar el riesgo: Este enfoque implica analizar las amenazas y evaluar la
probabilidad de ocurrencia. Luego, se implementan controles para minimizar el
impacto del riesgo. La gestión de riesgos es una práctica común en la ciberseguridad y
otras áreas para proteger activos y datos 🕵️‍♂️.
El concepto de riesgo intrínseco se refiere al riesgo que está presente sin ningún tipo de
control 🔄. En ciberseguridad, esto implica calcular el impacto y la probabilidad de ocurrencia
de amenazas antes de aplicar controles. Cuando se implementan controles, se está minimizando
el impacto del riesgo, pero es importante tener en cuenta que el riesgo nunca se elimina por
completo.
El término riesgo residual se refiere al impacto que permanece después de aplicar controles 🔄.
Aunque se implementen medidas para reducir el riesgo, siempre existe un nivel residual que
debe ser aceptado, ya que es difícil o imposible eliminar completamente todos los riesgos.
La gestión efectiva del riesgo implica evaluar y aceptar el riesgo residual de manera consciente
y informada 🤔.
Añadir la frecuencia o la probabilidad de ocurrencia. Hay dos tipos de metodologías:
 Cuantitativas → Magerit.
 Cualitativas → NIST, 800-30. Expresa el riesgo en niveles alto, medio o bajo.
1. Definir alcance y objetivos.

2. Identificar los activos. Un inventario detallado de activos, accesos, descubrimiento y
control de inventarios. Categorización por activo. Categorización FIPS 199 del NIST
→ Confidencialidad, Integridad, Disponibilidad, Marca de agua.
3. Identificar vulnerabilidades y amenazas.
4. Evaluar medidas de control.
5. Determinar la probabilidad y el impacto.
6. Calcular el Riesgo. Impacto por probabilidad de ocurrencia.
7. Identificar opciones de tratamiento.
8. Documentación y reporte. Con suficiente detalle.
9. Implementación de medidas. Proyecto o plan de acción.
Evaluación del Riesgo: Metodologías y Pasos Claves

Metodologías: Cuantitativas:
 Magerit: Es una metodología española que permite calcular el riesgo de forma

matemática.
 FAIR: Es una metodología internacional que se basa en el análisis del impacto
financiero del riesgo.
Cualitativas:
 NIST 800-30: Es una metodología estadounidense que expresa el riesgo en niveles

alto, medio o bajo.
 ISO 27005: Es una norma internacional que proporciona una guía para la gestión del
riesgo.
Pasos Claves:
1. Definir alcance y objetivos:
 Alcance: El alcance de la evaluación del riesgo debe ser definido claramente. Esto
incluye identificar los activos, sistemas y procesos que serán evaluados.
 Objetivos: Los objetivos de la evaluación del riesgo deben ser específicos, medibles,
alcanzables, relevantes y con un plazo de tiempo definido.
2. Identificar los activos:
 Inventario: Se debe realizar un inventario detallado de todos los activos de la

organización, incluyendo hardware, software, datos e información.
 Accesos: Se deben identificar los accesos a los activos, tanto físicos como lógicos.
 Descubrimiento: Se deben realizar actividades de descubrimiento para identificar
activos que no se encuentran en el inventario.
 Control de inventarios: Se debe implementar un sistema de control de inventarios
para mantener actualizado el inventario de activos.
 Categorización: Se deben categorizar los activos por su importancia y criticidad para
la organización. Se puede utilizar la categorización FIPS 199 del NIST, que se basa en
la confidencialidad, integridad y disponibilidad de los activos.
3. Identificar vulnerabilidades y amenazas:
 Vulnerabilidades: Se deben identificar las vulnerabilidades de los activos, tanto

internas como externas.
 Amenazas: Se deben identificar las amenazas que pueden afectar a los activos, tanto
naturales como intencionales.
4. Evaluar medidas de control:
 Se deben evaluar las medidas de control existentes para mitigar el riesgo.

 Se debe evaluar la eficacia de las medidas de control.
5. Determinar la probabilidad y el impacto:
 Probabilidad: Se debe determinar la probabilidad de que ocurra una amenaza.

 Impacto: Se debe determinar el impacto que una amenaza podría tener en un activo.
6. Calcular el Riesgo:
 El riesgo se calcula multiplicando la probabilidad por el impacto.
7. Identificar opciones de tratamiento:
 Se deben identificar opciones para tratar el riesgo, como aceptar el riesgo, mitigar el
riesgo o transferir el riesgo.
8. Documentación y reporte:
 La evaluación del riesgo debe ser documentada y reportada de forma clara y concisa.
 El reporte debe incluir suficiente detalle para que la gerencia pueda tomar decisiones
informadas sobre el riesgo.
9. Implementación de medidas:
 Se deben implementar las medidas de tratamiento del riesgo que se hayan

seleccionado.
 Se debe realizar un seguimiento de la eficacia de las medidas de tratamiento del riesgo.
1. Evaluación de riesgo
1.1. ¿Qué se entiende por riesgo?
La posibilidad de que una amenaza explote una vulnerabilidad, causando un impacto negativo.
Hay dos tipos de metodología:

· Cuantitativas: Expresan los riesgos en términos monetarios
· Cualitativas: En la familia ISO 27000 existe una norma solo para evaluar riesgos. NIST, 800-
30 Expresa el riesgo en términos de impacto alto, medio o bajo.
1.2. Pasos para la evaluación de riesgos:
1.2.1. Definir el alcance y objetivos
Se toman en cuenta algunos procesos de la organización, al hacer una evaluación de riesgo de

toda la organización se requiere hacer una priorización y entender como los procesos se
conectan entre ellos de tal forma que podamos evaluarlos.
1.3. Identificar los activos
Da referencia a crear un inventario de todo el:
· Hardware
· Software
· Versiones
más físicos:
· Cuáles son las entradas
· Cuáles son las salidas
· Quién puede entrar por cual puerta
· Quién tiene acceso
1.3.1. Identificar amenazas y vulnerabilidad
Cual seria el nivel de vulnerabilidad que tienen estos activos. Cunado se tiene el inventario de
estos activos, se evalúa el impacto de verse comprometida la confidencialidad, integridad y
disponibilidad por activo.
El activo puede ser un sistema, un dato, pero esto es relevante porque un dominio es un activo,
sin embargo, un dominio incluye varios sistemas.
<img height="231" width="487"

src="file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/
clip_image002.png" />
1.4. Evaluar medidas de control
Nos ayuda a ser más precisos en el análisis del sistema a nivel de impacto.
1.5. Determinar la probabilidad y el impacto
Se requiere de reportes de seguridad, para comprender la frecuencia y la exposición de los

activos son atacadas.
1.6. Calcular el riesgo
1.7. Identificar opciones de tratamiento
1.8. Documentación y reporte.
1.9. Implementar medidas de mitigación
ISO 27.001:2022 →
NIST 800 - 53 → 53B (los controles tienen ciertas indicaciones o directrices, analizar las
relaciones que tienen con otros). 53A es de assessment, evaluación. Qué se debe validar, a
quién entrevistar.
La evaluación de controles se facilita en el documento Declaración de Aplicabilidad (SoA):
Selección de controles
Justificación de la inclusión o exclusión - Quién es responsable de la decisión de aplicar o no.
Estado de implementación - Qué se aplica y qué riesgos se detectaron.
Referencias de la documentación -
Independiente de qué estándar se pueda seleccionar, lo importante es adoptarlo en serio y

aplicarlo. Este tipo de marcos están hechos para detectar el riesgo, administrarlo, combatirlo y
obtener insights para generar mejoras en el proceso. Estando en el área de la tecnología, no hay
que ser genio para entender que los ataques se volverán cada vez más sofisticados gracias al
uso de la IA, ya no basta tener un comité de profesionales inteligentes que sean expertos en
programación o ciberseguridad, es casi literalmente pasarse al lado oscuro y pensar como
hacker, actuar como hacker, vivir como hacker, ayudado por el potencial de la IA. La gestión
de controles es un componente fundamental de la seguridad de la información. Se trata de
un proceso continuo que abarca la identificación, implementación, evaluación y mejora de los
controles de seguridad necesarios para proteger los activos de información de una
organización.
Objetivos de la gestión de controles:
 Proteger la confidencialidad, integridad y disponibilidad de la información.

 Reducir el riesgo de ataques cibernéticos y otras amenazas a la seguridad.
 Cumplir con las regulaciones y estándares de seguridad.
 Mejorar la confianza de los clientes, socios y empleados en la seguridad de la
organización.
Tipos de controles:
 Controles preventivos: Se implementan para evitar que ocurran incidentes de

seguridad.
 Controles detectivos: Se implementan para detectar incidentes de seguridad cuando
ocurren.
 Controles correctivos: Se implementan para corregir los daños causados por
incidentes de seguridad.
Metodologías para la gestión de controles:

 ISO/IEC 27001: Es una norma internacional que proporciona un marco para la gestión
de la seguridad de la información.
 NIST Cybersecurity Framework: Es un marco desarrollado por el Instituto Nacional
de Estándares y Tecnología (NIST) de los Estados Unidos que proporciona una guía
para la gestión de la seguridad de la información.
 Estuve muy confundida con NIST e ISO 27001, así que les compartiré lo que encontré:
 Aunque podrían considerarse instrumentos similares, ISO 27001 y NIST son
diferentes. ISO 27001 es una norma internacional para mejorar el ISMS (Sistema de
gestión de la seguridad de la información) de una organización. Mientras que los
controles NIST ayudan a gestionar y reducir los riesgos de ciberseguridad para las
redes y los datos.
Muchas gracias por este aporte Angie! La norma ISO 27.001 es un estándar internacional.
Esencialmente, si lo cumples, te permite demostrar a terceros que estás gestionando los riesgos
con esta certificación. Definitivamente te ayuda a mejorar el ISMS. El NIST es parte de una
agencia federal de USA. Su misión es crear estándares para que todas las agencias federales, y
los que trabajen con estas, cumplan los requerimientos mínimos de seguridad que estos
definan. Sus estándares nos permiten aplicar excelentes prácticas de seguridad, como los
controles en el documento estándar 800-53
Mis apuntes:
Continuidad del negocio:
Se debe aplicar la regla 3,2,1 para respaldos: 3 Respaldos en 2 sitios distintos y 1 Offline. Es
fundamental para garantizar la seguridad de la información crítica
RTO: Objetivo de tiempo de recuperación.
Debemos preguntarnos: ¿Cuál es el tiempo máximo aceptable que puedo esperar para recuperar
las operaciones sin incurrir en consecuencias mayores?
RPO: Objetivo del punto de recuperación:
Debemos preguntarnos: ¿Cuanta información estoy dispuesto a perder a partir de los backups?
Estas dos variables nos ayudan a medir y entender cuanto debo invertir. Y justificar las
operaciones y vender un grado de confianza a mis partes interesadas.
Cuando hablamos de continuidad de negocio existen múltiples planes a validar y/o ejecutar:
• Plan de continuidad del negocio
• Plan de continuidad operativa (Identificar los recursos mínimos requeridos para continuar las
operaciones)
• Plan de continuidad de los sistemas de información, (Plan de contingencia o Plan de

recuperación ante desastres).
Saludos.
Continuidad del Negocio:

La continuidad del negocio se define como la capacidad de una organización para mantener
sus operaciones críticas funcionando durante y después de un evento disruptivo.
Regla 3-2-1 para respaldos:
Es una práctica recomendada para proteger la información crítica. La regla establece que se
deben tener:
 3 copias de seguridad:
 En 2 ubicaciones diferentes:
 1 copia de seguridad offline:
RTO (Objetivo de Tiempo de Recuperación):
Es el tiempo máximo que una organización puede permitirse estar sin acceso a sus sistemas y
datos críticos después de un evento disruptivo.
RPO (Objetivo del Punto de Recuperación):
Es la cantidad máxima de datos que una organización puede permitirse perder después de un
evento disruptivo.
Planes de Continuidad:
Existen diferentes tipos de planes de continuidad que se pueden implementar, dependiendo de

las necesidades de la organización:
 Plan de Continuidad del Negocio: Define las estrategias y acciones para mantener la
operación crítica del negocio en caso de un evento disruptivo.
 Plan de Continuidad Operativa: Identifica los recursos mínimos necesarios para
mantener las operaciones básicas del negocio funcionando.
 Plan de Continuidad de los Sistemas de Información: Describe cómo se recuperarán
los sistemas de información y datos críticos en caso de un evento disruptivo.
Definiciones y términos
🌐 Regla 3,2,1 3️⃣ 2️⃣1️⃣
La Regla 3,2,1 es una práctica recomendada para la protección de información crítica. Esta
regla establece que se deben tener:
 3 respaldos de los datos. 📂📂📂

 Almacenar los respaldos en 2 sitios distintos. 🏠🌍
 Mantener al menos 1 respaldo fuera de línea. 🚫💻
Esta regla contribuye a la continuidad de negocio y la recuperación ante desastres al garantizar

redundancia, distribución geográfica y la posibilidad de restauración incluso si hay problemas
en línea.
Cuando se evalúa la continuidad de negocio, se realiza un análisis de riesgos, se evalúa la

efectividad de los controles y se determinan los recursos mínimos necesarios para que los
procesos de negocio sigan operando en caso de un evento catastrófico. Esto se traduce en la
elaboración de un plan de contingencia.
🌋 Recuperación ante Desastres 🌋
La recuperación ante desastres asume la pérdida completa de datos y se enfoca en cómo

recuperarse de este escenario. Estos planes requieren práctica y deben incluir la prueba,
revisión y validación de los respaldos para asegurar la capacidad de restaurar el sistema desde
ellos sin corrupción.
Recuerda: La ley de Morphy, si algo puede salir mal, saldrá mal.
Los respaldos deben someterse a pruebas, revisiones y validaciones para asegurar que puedan
restaurar el sistema correctamente a partir de esos respaldos y que no estén corruptos cuando se
requieran. 🔄👨‍💻🔍 Esto es esencial para garantizar la eficacia de los planes de recuperación ante
desastres y la continuidad de negocio. Las pruebas regulares ayudan a identificar posibles
problemas y a mantener la confianza en la integridad de los datos respaldados. 🛠️🧐
Conceptos Clave
Objetivo de Tiempo de Recuperación ⏲️ (RTO)
RTO (Recovery Time Objective) es el tiempo máximo aceptable para recuperar operaciones
críticas tras una interrupción. Representa el límite temporal en el cual se deben restaurar las
operaciones sin incurrir en consecuencias mayores.
Objetivo del Punto de Recuperación 🎯 (RPO)
RPO (Recovery Point Objective) define la máxima pérdida de datos tolerable tras una
interrupción. Indica cuánta información se puede perder a partir de los respaldos en caso de
una interrupción.
Ambos objetivos (RTO y RPO) son fundamentales para entender la inversión necesaria,
justificar las operaciones y proporcionar un nivel de confianza a las partes interesadas.
💭 Imagina que estás a punto de imprimir 🖨️ y presentar tu tesis 📄 📖 📖 de universidad 👨🏼‍🎓 🏛️ ,

la obra maestra 🖼️ que representa incontables noches 🌃 de café ☕ y desvelo 🥱 . Justo cuando te
sientes invencible, 🐈‍⬛ tu gato decide hacer una "limpieza" 🧹 en tu escritorio 🖥️ y, sin previo
aviso, tira una taza de café sobre tu computadora. 😱 El horror se apodera de ti al ver cómo la
pantalla se llena de manchas marrones.
Aquí es donde entra el RPO y el RTO con un toque humorístico:
🎯 RPO (Recuperación de la Pérdida de la Información): El café ha arruinado parte de tu

tesis, pero recuerdas que tienes un RPO de 24 horas. Te apresuras a revisar tus copias de
seguridad automáticas en la nube y, alivio, encuentras una versión de tu tesis de ayer. Has
evitado la tragedia de perder todo tu trabajo gracias a esas copias diarias. 🙌
⏲️ RTO (Tiempo de Recuperación Objetivo): Ahora, con tu tesis restaurada, decides tomarte
un momento para procesar el incidente. Recuerdas que tu RTO es de 6 horas y te propones
secar la computadora 💻 , revisar y validar la versión restaurada de la tesis en ese plazo.
Mientras esperas a que la computadora se seque (y a que el gato 🐈‍⬛ se tranquilice), aprovechas
para contarle a tu gato sobre la importancia de las copias de seguridad y cómo él ha sido el
protagonista inesperado de tu odisea académica. 🕰️🐾
En este escenario humorístico, el RPO ha salvado tu tesis de la destrucción total, mientras que
el RTO establece el límite de tiempo para recuperar tu cordura y presentar la tesis a tiempo.
¡Tu gato, sin saberlo, ha desencadenado un épico drama académico con lecciones sobre
respaldo y paciencia! 😸🎓
📜 SLA (Niveles de Acuerdo de Servicio) y 📊 SLO

(Niveles Operacionales de Servicio)
SLO (Service Level Objective) y SLA (Service Level Agreement) son términos relacionados
pero tienen significados distintos en el contexto de la gestión de servicios.
1. 📊 Service Level Objective (SLO):

 📏 Un SLO es una métrica que se establece para medir el rendimiento de un servicio en
función de ciertos criterios.
 Generalmente, los SLOs son definidos por el equipo interno de operaciones o
desarrollo, y se utilizan para evaluar el rendimiento del servicio en términos de
disponibilidad, tiempo de respuesta, o cualquier otra métrica relevante.
 Los SLOs suelen ser utilizados como herramientas internas para medir y mejorar
continuamente el rendimiento del servicio.
2. 📜 Service Level Agreement (SLA):
 Un SLA es un acuerdo formal entre un proveedor de servicios y un cliente que
establece los niveles de servicio esperados y los compromisos que el proveedor debe
cumplir.
 Los SLAs suelen incluir detalles específicos sobre los tiempos de actividad, tiempos de
respuesta, y otros parámetros de rendimiento que son críticos para el cliente.
 En caso de que el proveedor no cumpla con los términos acordados en el SLA, puede
estar sujeto a penalizaciones o compensaciones según lo estipulado en el acuerdo.
En resumen, mientras que un SLO es una métrica interna utilizada para medir el rendimiento
de un servicio, un SLA es un acuerdo contractual entre un proveedor y un cliente que establece
los niveles de servicio esperados y las consecuencias en caso de incumplimiento. Ambos
conceptos están relacionados en la gestión de servicios, ya que los SLOs a menudo se utilizan
para medir y cumplir con los compromisos establecidos en los SLAs.
Puntos de Equilibrio ⚖️
Los puntos de equilibrio definen la relación 💰 costo-beneficio entre los mecanismos utilizados
para mitigar y respaldar datos y los niveles de 📈 tolerancia a fallos de los sistemas. Esta
relación se determina según el valor, sensibilidad y criticidad de la información.
Acuerdo de nivel de servicio (SLA)
Describe el servicio que se va a prestar, el nivel de rendimiento que se espera, cómo se medirá
y aprobará el rendimiento y qué ocurre si no se alcanzan los niveles de rendimiento.
Es importante incluir las características de rendimiento del servicio, identificar las

circunstancias en las que no se es responsable por interrupciones (excepciones) y definir los
medios a través de los cuales se gestionarán los problemas del servicio.
https://www.ibm.com/mx-es/topics/service-level-agreement
BIA - Interrupciones que pueden afectar al negocio. ¿Cuál es el recurso minimo pora
continuar?
Pasos
1. Determinar los procesos de negocio y criticidad de la recuperación.

2. Identificar los recursos mínimos.
3. Identificar las prioridades de la recuperación. Depende de cada organización, procesos
mínimo del que se tenga la mayor dependencia.
4. Plan de continuidad. Debe tener un proceso de evaluación, pruebas,
certificación.Divulgar el pan de continuidad. Que los procesos sean claros para actuar
en un momento determinado.
1. Un propósito.
2. Alcance.
3. Quienes pueden y deben comunicar.
4. Reactivación.
5. Quien activa el plan.
Análisis del impacto de negocio. (BIA)

Relación con el Análisis de Riesgo:
 El BIA evalúa amenazas, impactos e interrupciones en el negocio. ⚠️

 Identifica el recurso mínimo necesario para mantener las operaciones del negocio. 💼
Pasos para un BIA:
1. Determinar Procesos y Criticidad:

 Identificar procesos de negocio y su criticidad para la recuperación. 🔄
2. Identificar Recursos Mínimos:
 Incluir recursos computacionales y humanos. 💻👥
 Utilizar tablas de usuarios por recursos para identificar colaboradores mínimos. 📊
Ejemplo de tabal de Recursos por Personal
1. Identificar Prioridades de Recuperación:

 Establecer prioridades para la recuperación de procesos. 🎯
2. Visualización del BIA:
 Utilizar gráficos visuales para comprender mejor la información. 📈
Plan de Continuidad:
Evaluación Continua:
 Se destaca la importancia del plan y su evaluación continua. 🔄

 Proceso de pruebas, certificación y revisión constante. 🔄🔍
Ejemplo de lo que puede contener un Plan de Continuidad de Negocio

Reactivación de Actividades:
 Designación de la persona responsable de activar el plan. 👤

 Indicación clara de la transición de la contingencia al estado normal. 🔄➡️
Divulgación del Plan de Continuidad:
 No solo a partes interesadas, también al equipo de reacción inmediata. 📣👥

 Entrenamiento del equipo y revisión de procesos y documentos para mayor claridad. 🏋️‍
♂️📑
Reflexión sobre la Continuidad de Negocio:
 Ejercitar la memoria y al equipo. 🧠👥

 Practicar el plan para reaccionar eficientemente ante una disrupción. 🔄🚨
 Estos planes garantizan la continuidad del negocio. ✅💼
El análisis de impacto de negocio (BIA) es un proceso esencial para la gestión de riesgos y la

continuidad del negocio. Se trata de identificar y evaluar las interrupciones que pueden afectar
a una organización, así como determinar el impacto potencial de estas interrupciones en las
operaciones del negocio.
Objetivos del BIA:
 Comprender los riesgos que enfrenta la organización.

 Priorizar las actividades críticas para el negocio.
 Desarrollar planes de respuesta a incidentes y recuperación ante desastres.
 Asignar recursos de manera efectiva.
Metodología del BIA:
El BIA se realiza en cinco etapas:
1. Identificación de activos: Se identifican todos los activos de la organización, incluyendo

infraestructura, hardware, software, datos e información.
2. Evaluación de la criticidad: Se evalúa la importancia de cada activo para el negocio.
3. Análisis de amenazas: Se identifican las amenazas que pueden afectar a cada activo.
4. Evaluación del impacto: Se evalúa el impacto potencial de cada amenaza en el negocio.
5. Desarrollo de planes de mitigación: Se desarrollan planes para mitigar el impacto de las

amenazas.
Definiciones y términos
🌐 Regla 3,2,1 3️⃣ 2️⃣1️⃣
La Regla 3,2,1 es una práctica recomendada para la protección de información crítica. Esta
regla establece que se deben tener:
 3 respaldos de los datos. 📂📂📂
 Almacenar los respaldos en 2 sitios distintos. 🏠🌍
 Mantener al menos 1 respaldo fuera de línea. 🚫💻
Esta regla contribuye a la continuidad de negocio y la recuperación ante desastres al garantizar

redundancia, distribución geográfica y la posibilidad de restauración incluso si hay problemas
en línea.
Cuando se evalúa la continuidad de negocio, se realiza un análisis de riesgos, se evalúa la

efectividad de los controles y se determinan los recursos mínimos necesarios para que los
procesos de negocio sigan operando en caso de un evento catastrófico. Esto se traduce en la
elaboración de un plan de contingencia.
🌋 Recuperación ante Desastres 🌋
La recuperación ante desastres asume la pérdida completa de datos y se enfoca en cómo

recuperarse de este escenario. Estos planes requieren práctica y deben incluir la prueba,
revisión y validación de los respaldos para asegurar la capacidad de restaurar el sistema desde
ellos sin corrupción.
Recuerda: La ley de Morphy, si algo puede salir mal, saldrá mal.
Los respaldos deben someterse a pruebas, revisiones y validaciones para asegurar que puedan
restaurar el sistema correctamente a partir de esos respaldos y que no estén corruptos cuando se
requieran. 🔄👨‍💻🔍 Esto es esencial para garantizar la eficacia de los planes de recuperación ante
desastres y la continuidad de negocio. Las pruebas regulares ayudan a identificar posibles
problemas y a mantener la confianza en la integridad de los datos respaldados. 🛠️🧐
Conceptos Clave
Objetivo de Tiempo de Recuperación ⏲️ (RTO)
RTO (Recovery Time Objective) es el tiempo máximo aceptable para recuperar operaciones
críticas tras una interrupción. Representa el límite temporal en el cual se deben restaurar las
operaciones sin incurrir en consecuencias mayores.
Objetivo del Punto de Recuperación 🎯 (RPO)
RPO (Recovery Point Objective) define la máxima pérdida de datos tolerable tras una
interrupción. Indica cuánta información se puede perder a partir de los respaldos en caso de
una interrupción.
Ambos objetivos (RTO y RPO) son fundamentales para entender la inversión necesaria,
justificar las operaciones y proporcionar un nivel de confianza a las partes interesadas.
💭 Imagina que estás a punto de imprimir 🖨️ y presentar tu tesis 📄 📖 📖 de universidad 👨🏼‍🎓 🏛️ ,

la obra maestra 🖼️ que representa incontables noches 🌃 de café ☕ y desvelo 🥱 . Justo cuando te
sientes invencible, 🐈‍⬛ tu gato decide hacer una "limpieza" 🧹 en tu escritorio 🖥️ y, sin previo
aviso, tira una taza de café sobre tu computadora. 😱 El horror se apodera de ti al ver cómo la
pantalla se llena de manchas marrones.
Aquí es donde entra el RPO y el RTO con un toque humorístico:
🎯 RPO (Recuperación de la Pérdida de la Información): El café ha arruinado parte de tu

tesis, pero recuerdas que tienes un RPO de 24 horas. Te apresuras a revisar tus copias de
seguridad automáticas en la nube y, alivio, encuentras una versión de tu tesis de ayer. Has
evitado la tragedia de perder todo tu trabajo gracias a esas copias diarias. 🙌
⏲️ RTO (Tiempo de Recuperación Objetivo): Ahora, con tu tesis restaurada, decides tomarte
un momento para procesar el incidente. Recuerdas que tu RTO es de 6 horas y te propones
secar la computadora 💻 , revisar y validar la versión restaurada de la tesis en ese plazo.
Mientras esperas a que la computadora se seque (y a que el gato 🐈‍⬛ se tranquilice), aprovechas
para contarle a tu gato sobre la importancia de las copias de seguridad y cómo él ha sido el
protagonista inesperado de tu odisea académica. 🕰️🐾
En este escenario humorístico, el RPO ha salvado tu tesis de la destrucción total, mientras que
el RTO establece el límite de tiempo para recuperar tu cordura y presentar la tesis a tiempo.
¡Tu gato, sin saberlo, ha desencadenado un épico drama académico con lecciones sobre
respaldo y paciencia! 😸🎓
📜 SLA (Niveles de Acuerdo de Servicio) y 📊 SLO

(Niveles Operacionales de Servicio)
SLO (Service Level Objective) y SLA (Service Level Agreement) son términos relacionados
pero tienen significados distintos en el contexto de la gestión de servicios.
1. 📊 Service Level Objective (SLO):

 📏 Un SLO es una métrica que se establece para medir el rendimiento de un servicio en
función de ciertos criterios.
 Generalmente, los SLOs son definidos por el equipo interno de operaciones o
desarrollo, y se utilizan para evaluar el rendimiento del servicio en términos de
disponibilidad, tiempo de respuesta, o cualquier otra métrica relevante.
 Los SLOs suelen ser utilizados como herramientas internas para medir y mejorar
continuamente el rendimiento del servicio.
2. 📜 Service Level Agreement (SLA):
 Un SLA es un acuerdo formal entre un proveedor de servicios y un cliente que
establece los niveles de servicio esperados y los compromisos que el proveedor debe
cumplir.
 Los SLAs suelen incluir detalles específicos sobre los tiempos de actividad, tiempos de
respuesta, y otros parámetros de rendimiento que son críticos para el cliente.
 En caso de que el proveedor no cumpla con los términos acordados en el SLA, puede
estar sujeto a penalizaciones o compensaciones según lo estipulado en el acuerdo.
En resumen, mientras que un SLO es una métrica interna utilizada para medir el rendimiento
de un servicio, un SLA es un acuerdo contractual entre un proveedor y un cliente que establece
los niveles de servicio esperados y las consecuencias en caso de incumplimiento. Ambos
conceptos están relacionados en la gestión de servicios, ya que los SLOs a menudo se utilizan
para medir y cumplir con los compromisos establecidos en los SLAs.
Puntos de Equilibrio ⚖️
Los puntos de equilibrio definen la relación 💰 costo-beneficio entre los mecanismos utilizados
para mitigar y respaldar datos y los niveles de 📈 tolerancia a fallos de los sistemas. Esta
relación se determina según el valor, sensibilidad y criticidad de la información.
Ciclo de desarrollo seguro. Requerimientos de seguridad de las aplicaciones. Codificación,

gestión del cambio.
NIST 800 53B → Ciclo de vida del desarrollo de sistemas. Tiene subcontroles o mejoras, como
usar datos reales en un entorno de desarrollo, separación de los ambientes.
Enfoque de software seguro vs. seguridad en las aplicaciones.
Software seguro incorporar la seguridad en el ciclo de vida del desarrollo de software.

Seguridad en las aplicaciones: se añade posteriormente, no fueron diseañdas con la seguridad
en mente.
Software seguro es proactivo, seguridad en las aplicaciones es reactivo.
Software seguro, se enfoca en la causa raíz.
Seguridad en las aplicaciones responde a las amenazas.
Gestiona el riesgo
Seguridad forma parte del ciclo de vida vs. la seguridad se añade después.
El desarrollo o la adquisición de software seguro es fundamental para proteger los

sistemas de información de una organización. El software inseguro puede ser vulnerable a
una variedad de ataques cibernéticos, lo que puede resultar en la pérdida de datos, el robo de
información confidencial y la interrupción de las operaciones.
Estrategias para el desarrollo de software seguro:
 Implementar un ciclo de vida de desarrollo de software seguro (SDLC): El SDLC

es un marco que define las diferentes etapas del desarrollo de software, desde la
planificación hasta la implementación y el mantenimiento. Un SDLC seguro incluye
prácticas como la evaluación de riesgos, el análisis de código fuente y las pruebas de
seguridad.
 Utilizar herramientas de seguridad: Existen diferentes herramientas disponibles para
ayudar a los desarrolladores a crear software seguro, como analizadores de código
estático, herramientas de fuzzing y plataformas de pruebas de seguridad.
 Capacitar a los desarrolladores: Es importante capacitar a los desarrolladores en las
mejores prácticas de seguridad de software, como la codificación segura y el manejo de
vulnerabilidades.
Estrategias para la adquisición de software seguro:
 Realizar una evaluación de riesgos: Es importante evaluar los riesgos de seguridad

del software antes de adquirirlo. Esto incluye evaluar la seguridad del proveedor, las
características de seguridad del software y la capacidad del proveedor para
proporcionar soporte y actualizaciones de seguridad.
 Solicitar documentación de seguridad: El proveedor debe proporcionar
documentación de seguridad que describa las características de seguridad del software,
las pruebas de seguridad que se han realizado y el proceso de gestión de
vulnerabilidades del proveedor.
Open Wordwide Application Security Project: fundación sin ánimo de lucro para mejorar la
seguridad del software.
Se extendió a aplicaciones móviles, IoT, incorporación de inteligencia artificial.
 Proyectos de código abierto.

 Decenas de miles de miembros, 250 secciones o capítulos.
 Formación y charlas.
 Clasifica los proyectos en: herramientas, documentación y código.
Proyectos según el nivel:
 Emblemáticos.
 Laboratorio (han producido entregables de valor para revisar).
 Incubadora (experimental).
Proyectos populares
 Top 10
 Application security verification standard.
 Security testing guide.
 SAMM - Modelo de madurez para aseguramiento del software.
 Modsecurity Core Rule Set (WAF) - Empleado por grandes fabricantes de seguridad.
 ZAP - Zend Attack Proxy.
 Offensive Web Testing Framework
Introducción a OWASP: El Proyecto Abierto de Seguridad de Aplicaciones Web

OWASP (Open Web Application Security Project) es una organización sin fines de lucro,
global y de código abierto, dedicada a mejorar la seguridad de las aplicaciones web. Su
enfoque principal es la creación de recursos gratuitos, herramientas y documentación para
ayudar a las organizaciones a desarrollar, adquirir, implementar y mantener aplicaciones web
seguras.
¿Qué ofrece OWASP?
 OWASP Top 10: Una lista de las diez vulnerabilidades web más críticas y comunes,
actualizada periódicamente por la comunidad OWASP.
 Guía de Desarrollo OWASP: Una guía integral que cubre el ciclo de vida del
desarrollo de software (SDLC) seguro para aplicaciones web.
 Guía de Testing OWASP: Una guía completa para las pruebas de seguridad de
aplicaciones web, que incluye metodologías, herramientas y recursos.
 Proyectos OWASP: Una amplia colección de proyectos de código abierto
desarrollados por la comunidad OWASP, que abarcan temas como la gestión de
vulnerabilidades, la autenticación segura y la protección de APIs.
 Eventos OWASP: Capítulos locales OWASP organizan eventos y reuniones para
fomentar la colaboración y el intercambio de conocimientos sobre seguridad de
aplicaciones web.
 Capacitación OWASP: Capacitaciones y certificaciones OWASP para
desarrolladores, evaluadores de seguridad y profesionales de la seguridad de la
información.
 Mi resumen:
 15. OWASP Top 10

 Uno de los principales objetivos del OWASP Top 10 es educar a los
desarrolladores, diseñadores, arquitectos, gerentes y organizaciones
sobre las consecuencias de las debilidades más comunes y más
importantes de la seguridad de las aplicaciones web.
 Top 10 Web Application Security Risks

 <img height="177" width="610"
src="file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/0
1/clip_image002.png" />
 Owasp Top 10 for Large Language Model Application
 OWASP Mobile Top 10 2024
 OWASP API Top 10
 5
 Responder
OWASP SAMM - Software Assurance Maturity Model
Evaluar el software que se desarrolla o adquiere. Es una serie de funciones de negocio:
1. Gobernanza.
2. Diseño.
3. Implantación.
4. Verificación.
5. Operaciones.
Se ponen metas sobre objetivos en las prácticas de seguridad.
Entender el estado actual para → Definir a dónde se quiere ir.
La velocidad de maduración dependerá de cada negocio. No hay una dirección estándar para
los cambios en cada una de las funciones.
OWASP SAMM es un marco de trabajo de código abierto desarrollado por la Open Web
Application Security Project (OWASP) para ayudar a las organizaciones a evaluar y mejorar
su postura de seguridad de software.
Este utiliza un modelo de madurez que se divide en cinco niveles:

 Nivel 1 - Inicial: Las prácticas de seguridad de software son ad-hoc e informales.
 Nivel 2 - Repetible: Se han establecido algunas prácticas básicas de seguridad de
software, pero aún no se han formalizado.
 Nivel 3 - Definido: Se han definido y documentado las prácticas de seguridad de
software, pero la implementación puede no ser coherente.
 Nivel 4 - Gestionado: Las prácticas de seguridad de software se gestionan activamente
y se miden.
 Nivel 5 - Optimizado: Las prácticas de seguridad de software se optimizan
continuamente para mejorar la eficacia general.
Los equipos de seguridad pueden estar especializados por tareas, en las organizaciones muy
grandes.
Si está iniciando, una organización puede llevar cabo con su equipo de personas actual.
Roles mínimos
 Líder del programa de seguridad - Principal responsable de la visión y dirección del

programa de seguridad.
 Analista - Persona responsable de la implementación técnica. Debe tener
responsabilidad en la gestión de vulnerabilidades, evaluación de riesgo.
 Responsable de políticas y cumplimiento - Asegurarse de que las políticas estén
actualizadas, sean relevantes y se adhieran a las normativas legales y a los estándares
aplicables de la industria. También se le llama compliance officer.
Adicional a estos, están los security champions, su rol no es la seguridad de la información. Se

enfocan en actuar como enlaces entre el negocio y el equipo técnico que está implementando
los controles de seguridad.
Los roles mínimos para la seguridad de la información dependen del tamaño, la complejidad y
la industria de la organización.
1. Líder del Programa de Seguridad:
 Responsable de la estrategia general de seguridad de la información de la

organización.
 Define las políticas y procedimientos de seguridad.
 Supervisa el cumplimiento de las normas de seguridad.
 Reporta a la alta gerencia sobre los riesgos de seguridad y las medidas de
seguridad implementadas.
2. Analista de seguridad:
 Realiza pruebas de seguridad para identificar vulnerabilidades en los sistemas de

información.
 Evalúa los riesgos de seguridad y recomienda medidas para mitigarlos.
 Investiga los incidentes de seguridad y ayuda a la organización a recuperarse.
3. Responsable de políticas y cumplimiento:
 Asegurarse de que las políticas estén actualizadas, sean relevantes y se adhieran a las
normativas legales y a los estándares aplicables de la industria. También se le llama
compliance officer.
 El líder del programa de seguridad es el responsable de llevar la visión estratégica,
gestionar los recursos para el equipo y evaluar que se apliquen los objetivos definidos.
 Bases técnicas y conceptuales.
 Marcos referenciales, mejores prácticas.
 Cumplimiento de legislación y estándares.
 Gestión de la seguridad de la información.
Ciclo continuo → Sistemas operativos, bases de datos, redes, protocolos,

desarrollo.
Marcos referenciales → OSSTM, CoBit, HIPAA, etc.
Cumplimiento → Muchas leyes nacionales se basan en los estándares y

marcos.
Certificaciones Internacionales → Cómo se puede demostrar el cumplimiento

y la puesta en marcha de las mejores prácticas.
Para empresas: procesos de buenas prácticas. ISO 27001, SGSI (gestión de

seguridad de la información) está cercana a ISO 27701, SGPI (gestión de la
privacidad de la información).
ISO 22301, BCMS - Certificación de la continuidad del negocio.

Cumplimiento en la prestación de continuidad.
SOC1: Servicios financieros.
SOC2: Auditoría sobre un programa de seguridad.
SOC3: genera informe divulgativo sin romper la privacidad de la información.
Para empresas: las personas se pueden certificar como auditor interno o

auditor líder.
ISACA - Asociación enfocada en auditoría.
CISA : líder.
CISSP, CSSLP, SSCP
CompTIA: Security+ (líder del programa de certificación).
Pentest+, CySA+
ECCounci: Ethical Hacker. CCISO.

OSCP: compleja, prepara para hacer pruebas de intrusión a los sistemas.
6
Responder

Iriquel Bernabel
Estudiante•hace 2 meses
Muchas gracias por los apuntes, excelentes notas. Saludos.
1

c3tuxpo2018
Estudiante•hace un mes
RUTA GENERAL
 Bases técnicas y conceptuales (Implementación de controles)

 Marcos referenciales Mejores prácticas El objetivo es aprovechar la
inteligencia colectiva
 Cumpolimiento legislacion y estándares
 Gestión de la seguridad de la información una vision centrada en el
riesgo
 Es increíble la cantidad de certificaciones que existen en la actualidad, tanto para
empresas como personas. Imagino que en el corto plazo se extenderán más y se exigirá
aún más contar con ellas. Los grandes inversionistas muy probablemente pondrán
presión a las empresas, y tendrán requisitos desde el punto de vista de la
ciberseguridad para invertir su dinero. No invertirán solamente bajo la expectativa del
retorno, también buscarán que su dinero no esté expuesto al cibercrimen. Por lo que
veo, la ciberseguridad se convertirá en un pilar más, dentro de la estructura para crear
una empresa. No es sólo el dinero que es invertido, son los datos que están expuestos y
por cierto habrán empresas que se convertirán en blancos primordiales para el
ciberataque, entre ellas, como ya se ha visto: "Organismos del Estado".Comenzaron
con buenas prácticas. Se volvieron más formales, apegándose a mejores prácticas.
 Gestión de la configuración.
 Discusiones estratégico con la capa de líderes para formalizar el programa de
seguridad de la información.
 Formalizaron los procesos, a la velocidad de la innovación de la organización.
 Se contrató a un auditor interno (pero es persona externa). Fortalecer documentación,
registros.
 Evaluaron con cuál organismo certificarse. Se formalizaron muchas cosas → Auditoría
previa.
 Fijaron fecha de auditoría formal. Se hizo el proceso y recibieron el veredicto del
organismo auditor.
Todo inicia con la implementación de controles. Luego formalizaron con políticas de seguridad
con los equipos. Gestión de vulnerabilidades más metódica.
Contrataron pruebas de evaluación y penetration testing. Se debe seguir profundizando en el
modelo de madurez y aseguramiento del software.

Por Qué Crear Un Programa de Seguridad de La Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Por Qué Crear Un Programa de Seguridad de La Información

Cargado por

Copyright:

Formatos disponibles

¿Por qué crear un programa de seguridad de la información?

Proteger la información confidencial:

 Datos de clientes: nombres, direcciones, información financiera, etc.

Reducir el riesgo de ataques cibernéticos:

 Malware: virus, ransomware, spyware, etc.

Garantizar la continuidad del negocio:

 Permitir que la empresa siga funcionando en caso de un incidente de seguridad.

Cumplir con las regulaciones:

 Ley de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)

 Aumentar la confianza de los clientes y socios.

La Seguridad Informática paso de ser una necesidad a convertirse en una urgencia. El

Según el informe del estado de ransomware:

· El 66% de las empresas sufrieron este tipo de ataques.

· El 46% de las empresas pagaron el rescate de su información.

1.1. Norma 3,2,1

Realizar 3 copias en 2 medios de almacenamiento distintos, con 1 copia offline.

Security as a Business Enabler (SaaBE): Un nuevo enfoque para la seguridad

 Promueve la innovación: La seguridad robusta permite a las empresas explorar

LA SEGURIDAD COMO FACTOR DE NEGOCIO

Security as a Business Enable

Un programa de la seguridad de la información debe estar alineado a los objetivos de la

Una forma de lograr aprobar presupuesto y llevar acabo el programa de seguridad de la

(Security as a Business Enable) en donde vemos que la seguridad no es solo un compromiso de

Security as a Businnes Enabler

La respuesta Crear un programa de seguridad de la información visto desde la perspectiva de

Objetivos de la seguridad de la información

CONFIDENCIALIDAD : Proteger los datos de accesos no autorizados, preservando la

Un programa de seguridad de la información es un conjunto de politicas de gestion,procesos

Enfoque basado en el riesgo es fundamental para gestionar los recursos de seguridad ,

2. Objetivos del programa de seguridad de la información

2.1. Propiedades básicas de la seguridad de la información

Confidencialidad: Proteger los datos de accesos no autorizados, preservando la privacidad y

2.2. ¿Porque crear un programa de seguridad de la información?

Según el instituto nacional de estándar y tecnologías de los estados unidos, un programa de

2.3. Puntos clave para el ámbito de negocio

Un programa de seguridad de la información debe estar alineados a los objetivos de la

El enfoque basado en el riesgo es fundamental para gestionar los recursos de seguridad,

2.4. La seguridad como factor de riesgo

(Security as a business Enabler) es la justificación de como la seguridad no es solo un

• Abrir nuevas oportunidades

ENFOQUE BASADO EN RIESGOS

Es Fundamental ya que permite evaluar la sensibilidad y el valor de la información y en base a

# Objetivos del Programa de Seguridad de la Información

**Meta:** Garantizar la protección contra accesos no autorizados, preservando la privacidad y

- Implementar controles de acceso y autenticación.

- Encriptar datos sensibles durante su almacenamiento y transmisión.

## 2. Garantizar la Integridad de los Datos

- Implementar mecanismos de verificación y validación de datos.

- Establecer procedimientos para la actualización segura de la información.

- Realizar auditorías regulares para detectar posibles cambios no autorizados.

## 3. Garantizar la Disponibilidad de la Información

- Implementar redundancias y sistemas de respaldo.

- Establecer protocolos de respuesta ante incidentes para minimizar el tiempo de inactividad.

- Monitorear continuamente la infraestructura para prevenir y mitigar posibles fallas.

## 4. Alineación con los Objetivos Organizacionales

**Meta:** Alinear el programa de seguridad de la información con los objetivos estratégicos

- Integrar la seguridad de la información en la planificación estratégica.

- Definir métricas de desempeño que demuestren la contribución de la seguridad a los objetivos

- Adaptar el programa a los cambios en la estructura y metas de la organización.

## 5. Enfoque Basado en Riesgos

**Meta:** Gestionar los recursos de seguridad de manera efectiva y proporcional al valor y

- Realizar evaluaciones periódicas de riesgos y vulnerabilidades.

- Priorizar la implementación de controles según la criticidad de los activos de información.

Meta: Garantizar la protección contra accesos no autorizados, preservando la privacidad y

Meta: Alinear el programa de seguridad de la información con los objetivos estratégicos

Meta: Gestionar los recursos de seguridad de manera efectiva y proporcional al valor y

Meta: Posicionar la seguridad como un habilitador del crecimiento y éxito empresarial. 🚀

Meta: Evitar brechas de seguridad que puedan impactar negativamente la marca y

Meta: Permitir la incorporación segura de nuevas tecnologías y enfoques de negocio. 🔄💡