Principios de la seguridad informática

Principios de la seguridad informática

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Principios de la seguridad informática por Mind Map: Principios de la seguridad informática

1. Conceptos fundamentales

1.1. Objetivo

1.1.1. desarrollar, implementar y administrar un programa de seguridad

1.1.1.1. Resultados esperados

1.1.1.1.1. Alineación estratégica:

1.1.1.1.2. Administrar los riesgos:

1.1.1.1.3. Entrega de valor:

1.1.1.1.4. Administración de recursos:

1.1.1.1.5. Medición del desempeño

1.2. Principios

1.2.1. Es más que un problema de TI

1.2.1.1. Es un componente clave en la gestión de riesgos de la organización, lo que requiere la supervisión de la dirección

1.2.2. Tiene implicaciones legales que los directivos deben entender

1.2.3. Debe ser un tema de discusión en la junta de dirección de forma periódica

1.2.4. Los directores deben implementar un marco efectivo de gestión de riesgos en la organización.

1.2.5. La alta dirección y el consejo deben evaluar el riesgo de seguridad de la información al igual que otros riesgos a nivel organización para asegurar que los riesgos se acepten, eviten, mitiguen o transfieran.

1.3. Riesgo

1.3.1. La posibilidad de sufrir daños o pérdidas".

2. Características

2.1. Buenas prácticas principalmente de la dirección

2.1.1. Evaluación anual de la seguridad de la información

2.1.2. Evaluaciones de riesgos periódicos como parte de un programa global de gestión de riesgos

2.1.3. Implementar políticas y procedimientos basados en las evaluaciones de riesgos.

2.1.4. Establecer una estructura de gestión de seguridad para asignar individualmente roles y responsabilidades.

2.1.5. Desarrollar iniciativas para brindar seguridad de la información a redes, instalaciones, sistemas e información en general.

2.1.6. Tratar la seguridad de la información como parte integral durante el ciclo de vida de los sistemas de información

2.1.7. Proporcionar concientización, capacitación y educación en seguridad de la información para todo el personal.

2.1.8. Conducir pruebas y evaluaciones periódicas para medir la efectividad de las políticas y procedimientos de seguridad de la información.

2.1.9. Desarrollar e implementar procedimientos de respuesta a incidentes.

2.1.10. Establecer planes, procedimientos y pruebas para proporcionar continuidad de las operaciones.

2.1.11. Crear y ejecutar planes de acción para manejar cualquier deficiencia de seguridad

2.1.12. Marco de ciberseguridad

2.1.12.1. Identificar

2.1.12.1.1. Desarrollar el conocimiento de la organización para gestionar riesgos de seguridad en sistemas, activos, datos y capacidades.

2.1.12.2. Proteger

2.1.12.2.1. Desarrollar e implementar las salvaguardas adecuadas para garantizar la prestación de servicios.

2.1.12.3. Detectar

2.1.12.3.1. Desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de seguridad.

2.1.12.4. Responder

2.1.12.4.1. Desarrollar e implementar las actividades apropiadas para actuar ante un evento de seguridad detectado

2.1.12.5. Recuperar

2.1.12.5.1. Desarrollar e implementar las actividades apropiadas para mantener planes de resiliencia y restaurar las capacidades o servicios que fueron perjudicados debido a un evento de seguridad.

2.1.13. Elaborar documentos con políticas claras

3. Consecuencias de la falta de seguridad en las empresas

3.1. Robo de identidad

3.2. Perdidas económicas

3.3. Pérdida de prestigio

3.4. Pérdida de credibilidad

3.5. Especulación / Pérdida de clientes

3.6. Posibles implicaciones legales

4. Componentes de la gestión de riesgo en los sistemas informáticos

4.1. Agente de amenaza:

4.1.1. Entidad humana o no humana que explota una vulnerabilidad;

4.2. Vulnerabilidad:

4.2.1. Lo que explota el actor de la amenaza;

4.2.1.1. Contrarrestarla

4.2.1.1.1. Eliminar la vulnerabilidad. Si no existe, entonces no puede ser explotada;

4.2.1.1.2. Reducir la probabilidad de explotación de la vulnerabilidad

4.2.1.1.3. Reducir la gravedad del impacto resultante de la explotación de la vulnerabilidad

4.2.1.1.4. No hacer nada, aceptar el riesgo.

4.3. Resultados:

4.3.1. El resultado de la explotación de una vulnerabilidad;

4.4. Impacto

4.4.1. Consecuencias de los resultados no deseados. No confunda los resultados con los impactos.