Computer Security">
Ciberseguridad en 9 Pasos
Ciberseguridad en 9 Pasos
Ciberseguridad en 9 Pasos
Relación
Continuidad del negocio y gestión de riesgo
Cuatro potenciales beneficios que podría obtener la empresa con el proyecto de ciberseguridad.
Cumplimiento: Si en el Paso 1 detectó algún tipo de ley, norma o requisito contractual relacionado con la seguridad
de la información, puede respaldar su proyecto de ciberseguridad por la importancia en el cumplimiento de todos los
requisitos detectados.
• Ventaja de comercialización: A menos que se venda alguna clase de herramienta para seguridad de la
información o servicios de consultoría, parecería que la ciberseguridad y la comercialización no tienen mucho en
común. Sin embargo, es necesario que se muestre a las otras partes involucradas (por ejemplo, los clientes) que se
puede administrar en forma segura la información que ellos le confían, Esto se puede hacer a través del proceso
de certificación. Esto se puede hacer a través del proceso de certificación; los certificados más difundidos para
las organizaciones son ISO 27001 y PCI DSS.
Disminuir los costos: La filosofía fundamental de la ciberseguridad es la prevención; se invierte ahora para ahorrar
dinero más adelante. También se puede tomar como una póliza de seguro; se paga ahora para evitar posteriormente
las consecuencias de algún incidente que ocasione daños.
Optimización de los procesos comerciales: La ciberseguridad muchas veces no es más que la definición clara de
los procedimientos laborales.
La seguridad es principalmente el producto de
procesos bien definidos.
4) Costos de certificación…
Paso 6: Evaluación y mitigación de riesgos
Los detalles del proyecto de implementación de ciberseguridad dependerán de sus objetivos y del marco
referencial que se escoja. Sin importar cuál de los enfoques se adopte, tendrá que basarse en gestionar
sus riesgos en seguridad de la información.
El objetivo de la gestión de riesgos
¿Por qué son importantes la evaluación y el tratamiento de riesgos?
En lo que respecta a la perdida de algún activo con información. Ninguna medida tendrá efecto si no se
les explica a los empleados a través de una capacitación.
La seguridad de la información nunca es un único control de seguridad.
Elementos de la gestión de riesgos
El tratamiento del riesgo es encontrar las mejores formas y las más económicas para mitigar los riesgos más
importantes.
La evaluación y el tratamiento de riesgos debería ser la pieza central de la ciberseguridad, y todas las medidas
de protección (o, al menos, la mayoría de ellas) deberían ser implementadas en función de la gestión del
riesgo.
Paso 7: Implementar las medidas de protección
2) Implementando nueva tecnología: Se debe pensar antes de comprar nuevos sistemas que demanden gran
inversión.
Para poder hacer un seguimiento de las medidas de protección se necesita pedirle tres cosas al equipo del
proyecto:
2- Que defina un método con el cual la empresa medirá periódicamente el logro de los objetivos.
Se debe capacitar y concientizar al personal en los beneficios para la empresa y para el personal que
traerán estas nuevas medidas, y las consecuencias en caso de no cumplirlas.
Paso 8: continuación…
2. Cuando se implementen las nuevas medidas de protección, al mismo tiempo se deberá planificar sesiones de
capacitación y concientización.
3. No es suficiente hacer una sola vez las sesiones de capacitación y concientización. La capacitación y
concientización es un proceso permanente
Paso 9: La Ciberseguridad es una historia sin fin
Hay una serie de actividades que se deberían realizar de forma permanente para que la
ciberseguridad sea efectiva.
El 3er motivo de fracasos es por dejar de lado u olvidarse de todo lo implementado,
políticas, procedimientos, tecnología, etc.
Se debe concentrar especial atención en las siguientes actividades:
Supervisión
Medición
Escuchar sugerencias
Auditoría interna
Revisión de la alta gerencia
Auditorías de certificación
Mejora continua
GRACIAS