1. Consecuencias de falta de seguridad en las empresas
1.1. Robo de información
1.2. Suplantación de identidad
1.3. Chantaje
1.4. Inyección de código
1.5. ataques de denegación de servicio distribuido (DDoS)
1.6. ransomware
1.7. Pérdida de ingresos o clientes
1.8. pérdida de diferenciación de mercado
1.9. los costos de respuesta y recuperación por el incidente
1.10. costo de pagar multas y sanciones regulatorias
1.11. pérdida, modificación o divulgación de información
2. Componentes en la gestión de riesgo en los sistemas informáticos
2.1. Buenas practicas. Instituto Nacional de Estándares y Tecnología (NIST)
2.1.1. Identificar: Desarrollar el conocimiento de la organización para gestionar riesgos de seguridad en sistemas, activos, datos y capacidades.
2.1.2. Proteger: Desarrollar e implementar las salvaguardas adecuadas para garantizar la prestación de servicios.
2.1.3. Detectar: Desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de seguridad.
2.1.4. Responder: Desarrollar e implementar las actividades apropiadas para actuar ante un evento de seguridad detectado.
2.1.5. Recuperar: Desarrollar e implementar las actividades apropiadas para mantener planes de resiliencia y restaurar las capacidades o servicios que fueron perjudicados debido a un evento de seguridad.
2.2. Crear un sólido programa de evaluación y gestión del riesgo de la seguridad de la información
2.2.1. Un programa de gestión de activos
2.2.2. Un programa de gestión de la configuración
2.2.3. Un programa de gestión del cambio
3. Conceptos fundamentales
3.1. Impacto: Consecuencias de los resultados no deseados. No confunda los resultados con los impactos.
3.2. Vulnerabilidad: Lo que explota el actor de la amenaza
3.3. Riesgo de seguridad:La posibilidad de sufrir daños o pérdidas
3.4. Agente de amenaza: Entidad humana o no humana que explota una vulnerabilidad;
3.5. Resultados: El resultado de la explotación de una vulnerabilidad
3.6. Gestión de riesgos de seguridad de la información: es el proceso de identificar, comprender, evaluar y mitigar los riesgos –y sus vulnerabilidades subyacentes– y el impacto en la información, los sistemas de información y las organizaciones que dependen de la información para sus operaciones
3.7. La preparación para la seguridad cibernética es el estado de ser capaz de detectar y responder eficazmente a las brechas e intrusiones de seguridad informática, los ataques de malware, los ataques de phishing y el robo de datos y propiedad intelectual, tanto de fuera, como dentro de la red.
4. Características
4.1. Gobierno de la ciberseguridad.
4.1.1. Su objetivo es desarrollar, implementar y administrar un programa integral de seguridad
4.1.1.1. Alineación estratégica: Alinear la seguridad de la información con la estrategia de negocio.
4.1.1.2. Administrar los riesgos: Ejecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendrían en los activos de información.
4.1.1.3. Entrega de valor: Optimizar las inversiones en la seguridad.
4.1.1.4. Administración de recursos: Utilizar el conocimiento y la infraestructura de la seguridad de la información con eficiencia y eficacia
4.1.1.5. Medición del desempeño: Monitorear y reportar métricas de seguridad de la información para garantizar que se alcancen los objetivos.
4.1.2. Debe ser parte integral del gobierno corporativo
4.2. Políticas de Seguridad Informática y de Seguridad de la Información: Elaborar un documento de políticas de seguridad informática y de seguridad de la información
4.2.1. Elaborar políticas claras. Cualquier usuario promedio podrá entenderlas, llevarlas a la práctica y cumplirlas en su totalidad.
4.2.2. Desarrollar políticas que la organización pueda realizar en función del usuario, ya que éste es quien logra que se lleven a cabo
4.2.3. Establecer políticas que la alta dirección de la organización desee y pueda cumplir, no sólo elaborarlas para aprobar una auditoría o un proceso de evaluación
4.2.4. Fijar políticas concretas. Deben mostrar tanto lo que se debe realizar como las limitantes de lo que se pretende proteger o no comprometer
4.2.5. Toda política que se pretenda incluir en el documento se debe difundir; ningún usuario debe desconocerla
4.2.6. El documento debe estar en un lugar de fácil acceso y consulta para que los usuarios de la compañía puedan leerla no como un complemento a sus labores sino como una obligación expresa en su contrato.
4.2.7. Se debe dar una clasificación de protección de la información al documento, de eso dependerá su capacidad de difusión hacia los usuarios
4.2.8. Es indispensable que los proveedores de servicios ajenos a la organización conozcan el documento para que se apeguen a ellas y apoyen en su cumplimiento
4.2.9. Las políticas deben tener una campaña de difusión: Puede ser distinta pero no ajena a la campaña de concientización en materia de seguridad de la información, ya que de ésta dependerá que el documento sea analizado por todos los usuarios de la empresa y no sea olvidado
4.2.10. Se debe tener como mínimo una revisión del documento con una periodicidad menor a los 180 días. Lo más importante que debemos analizar y tener claro es que ninguna política es perfecta. Los usuarios tratarán de encontrar fallos en las mismas para burlarlas o no ser sancionados. Por eso, ninguna política es perpetua ni ha sido “escrita en piedra”.
4.3. La gestión del riesgo de seguridad de la información permite a una organización evaluar lo que está tratando de proteger, y por qué, como elemento de apoyo a la decisión en la identificación de medidas de seguridad.
4.3.1. Identificar los activos críticos de información.
4.3.2. Comprender por qué los activos críticos escogidos son necesarios para las operaciones, la realización de la misión y la continuidad de las operaciones.
4.3.3. Identificar riesgos y planificar métodos de mitigación