Please enable JavaScript.
Coggle requires JavaScript to display documents.
Gestión y Cumplimiento, IT Governance Structure, Equipo: - Coggle Diagram
Gestión y Cumplimiento
La ética de la Ciberseguridad
Ética Utilitarista
LA consecuencia de una acción es el factor más importante para determinar si la acción es moral o no
Enfoque de los derechos
Establece que un individuo tiene derecho a tomar sus propias decisiones, no pueden ser violadas por otra persona
Enfoque del bien común
Las acciones éticas son las que benefician a toda la comunidad
Mandamientos de la Ética
No usarás una computadora para dañar a otras personas
No interferirás con el trabajo informático de otras personas
No husmearás en los archivos informáticos de oras personas
No usarás una computadora para robar
No usarás una computadora para dar falso testimonio
No copiarás ni utilizarás software propietario por el que no hayas pagado
No utilizará los recursos informáticos de otras personas sin autorización o compensación
No te apropiarás de la producción intelectual de otras personas
Deberás pensar en las consecuencias sociales del programa que estás escribiendo o del sistema que estás diseñando
Siempre usarás una computadora de manera que garantice la consideración y el respeto por tus semenjantes
Delito Cibernético
Informático
Asistido por computadora
Incidental informático
Derecho Cibernético
Ley estatutaria
Ley administrativo
Derecho común
Ley Federal de Administración de Seguridad de la Información (FISMA).
Las agencias deben incluir:
Evaluación de riesgos
Un inventario anual de los sistemas de TI
Políticas y procedimientos para reducir el riesgo
Capacitaciones de concientización en seguridad
Prueba y evaluación de todos los controles del sistema de TI
Leyes Especificas de la Industria
Ley Gramn-Leach-Bliley (GLBA)
Ley Sarbanes-Oxley (SOX)
Estándar de seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)
Leyes de Notificación de Infracciones a la Seguridad
Ley de privacidad de las comunicaciones electrónicas
Fraude informático y abuso
Marco de Trabajo para la Administración de la Seguridad de TI
Los Doce Dominios de Ciberseguridad (ISO/IEC 27000)
Organización de la seguridad de la información: Estructura y responsabilidades de seguridad.
Administración de dispositivos: Inventario y clasificación de activos.
Seguridad de recursos humanos: Procedimientos antes, durante y después del empleo.
Seguridad física y ambiental: Protección de instalaciones y equipos.
Administración de operaciones y comunicaciones: Control técnico de sistemas y redes.
Desarrollo y mantenimiento de sistemas: Seguridad en todo el ciclo de vida de los sistemas.
Control de acceso: Restringe el acceso no autorizado.
Gestión de incidentes: Preparación y respuesta ante violaciones de seguridad.
Continuidad del negocio: Mantener funciones críticas tras interrupciones.
Cumplimiento: Asegurar conformidad con normas, políticas y leyes.
Objetivos de Control y Controles
Objetivos de control (ISO 27001):
Definen los requisitos de alto nivel para implementar la seguridad.
Controles (ISO 27002):
Son pautas o medidas para cumplir los objetivos.
ISO 27000 y la Tríada de CIA
Tríada CIA:
Confidencialidad: Solo personas autorizadas acceden a la información.
Integridad: Los datos no se alteran sin autorización.
Disponibilidad: La información está accesible cuando se necesita.
Google: Confidencialidad y Disponibilidad.
Amazon: Alta Disponibilidad.
Estados de los Datos
En proceso: Mientras son usados o modificados.
En reposo: Almacenados en servidores o dispositivos.
En tránsito: Cuando se transfieren por redes.
Salvaguardas ISO
Personas: Capacitación y roles del personal.
Tecnología: Sistemas, redes y software.
Políticas: Normas y procedimientos establecidos por la dirección.
Marco de la Fuerza Laboral Nacional de Ciberseguridad (NIST)
Operar y mantener: Soporte y mantenimiento de sistemas seguros.
Proteger y defender: Detectar y mitigar amenazas.
Investigar: Analizar incidentes y ataques.
Recopilar y operar: Actividades de obtención de información y contrainteligencia.
Analizar: Evaluar información para generar inteligencia útil.
Supervisar y administrar: Liderar y coordinar estrategias de seguridad.
Aprovisionamiento seguro: Diseñar y adquirir sistemas con medidas de seguridad integradas.
Los Controles Críticos de Seguridad CIS
El Centro de Seguridad de Internet (CIS) creó un conjunto de controles críticos de seguridad para ayudar a las organizaciones sin importar su tamaño o recursos a mejorar sus defensas cibernéticas.
Proporcionar una guía práctica y priorizada para reducir los riesgos más comunes en ciberseguridad.
Facilitar la protección, detección y respuesta ante amenazas.
La Matriz de Controles de la Nube (CCM - Cloud Controls Matrix)
197 objetivos de control distribuidos en 17 dominios, que cubren:
Gobernanza y administración de riesgos
Seguridad de datos y redes
Recursos humanos
Seguridad móvil
Asigna controles de la nube a estándares, regulaciones y mejores prácticas internacionales.
Es considerada el estándar de facto para la seguridad y cumplimiento en la nube.
Cumplimiento
Auditorías SOC (System and Organization Controls):
Auditoría independiente sobre la seguridad, disponibilidad, integridad, confidencialidad y privacidad.
Tipo I: Evalúa el diseño de los controles en un momento específico.
Tipo II: Evalúa la efectividad de los controles a lo largo del tiempo (mínimo seis meses).
Certificación CMMC (Cybersecurity Maturity Model Certification):
Aplicable a organizaciones que trabajan con el Departamento de Defensa de EE. UU. (DoD).
Evalúa el nivel de madurez en prácticas de ciberseguridad.
Tiene 5 niveles, desde la higiene cibernética básica hasta capacidades avanzadas contra amenazas persistentes (APT).
Gobernanza
Gobernanza de TI vs Administración de TI:
Gobernanza: Define quién decide sobre los riesgos y estrategias.
Administración: Implementa los controles técnicos y operativos.
Roles principales:
Propietario de datos: Define clasificaciones, políticas y criterios de acceso.
Controlador de datos: Decide para qué y cómo se procesan los datos personales.
Procesador de datos: Procesa datos en nombre del controlador.
Custodio de datos: Aplica controles y clasificaciones según las políticas.
Administrador de datos: Asegura que los datos cumplan necesidades empresariales y normas.
Funcionario de protección de datos: Supervisa la estrategia y cumplimiento de protección de datos.
Políticas de Ciberseguridad
Propósitos principales:
Demostrar compromiso institucional con la ciberseguridad.
Establecer estándares y conductas esperadas.
Garantizar coherencia en el manejo de sistemas, software y hardware.
Definir consecuencias legales ante incumplimientos.
Proporcionar soporte de la alta gerencia al equipo de seguridad.
Tipos de Políticas de Seguridad
Identificación y autenticación: Define quién puede acceder y cómo se verifica su identidad.
Contraseñas: Establece longitud, complejidad y frecuencia de cambio.
Uso aceptable: Reglas sobre uso y acceso de recursos de red; incluye sanciones.
Acceso remoto: Regula conexiones externas y datos accesibles.
Mantenimiento de red: Procedimientos para actualizaciones y parches de sistemas.
Manejo de incidentes: Cómo reportar y responder ante incidentes de seguridad.
Datos: Clasificación, almacenamiento y eliminación de información.
Credenciales: Normas para creación y administración de credenciales seguras.
Organizacional: Guías sobre administración de cambios y control de activos.
IT Governance Structure
Roles en la Governanza de Datos
Propietario de los datos (Data Owner)
Asegura el cumplimiento de políticas, asigna clasificaciones y define los criterios de acceso.
Controlador de datos (Data Controller)
Determina el propósito y la forma en que se procesan los datos personales.
Procesador de datos (Data Processor)
Procesa datos personales en nombre del controlador.
Custodio de datos (Data Steward)
Garantiza que los datos apoyen las necesidades del riesgo y cumplan con regulaciones.
Oficial de protección de datos (Data Protection Officer)
Supervisa la estrategia de protección de datos de la organización
Políticas de Ciberseguridad
Documento de alto nivel que define la visión, metas, alcance y responsablilidades en ciberseguridad
Asegura coherencia y cumplimiento en operaciones y sistemas
Define las consecuencias de violar las políticas
Brinda apoyo al equipo de seguridad desde la alta dirección
Governanza de TI
Define quién toma decisiones sobre los riesgos de ciberseguridad
Alinea la seguridad con los objetivos y regulaciones del negocio
Garantiza la rendición de cuentas y la supervisión
Tipos de Políticas de Ciberseguridad
Política maestra de ciberseguridad
Plan estratégico general para implementar controles de seguridad
Política específica del sistema
Estandariza configuraciones de software, hardware y sistemas operativos
Política específica por tema
Detalla requisitos y procedimientos para situaciones operativas particulares
Tipos de Políticas de Seguridad
Política de identificación y autenticación
Define quién puede acceder a los recursos de red y qué métodos de verificación se usan
Política de contraseñas
Establece la complejidad, longitud y frecuencia de cambio de las contraseñas
Políticas de uso aceptable
Reglas sobre el acceso y uso de las recursos de red, consecuencias por violaciones
Política de acceso remoto
Se definé como conectarse de forma segura a la red interna y que información puede acceder remotamente
Política de mantenimiento de red
Procedimientos para actualizar sistemas operativos y aplicaciones
Política de manejo de incidentes
Guía sobre como reportar y responder ante incidentes de seguridad
Política de datos
Reglas sobre procesomiento, almacenamiento, clasificación y eliminación de datos (confidenciales, públicos, etc.)
Política de credenciales
Define las normas para la creación de credenciales seguras
Política organizacional
Guía sobre como debe realizarse el trabajo en la organización.
Ej. Gestón de cambios, control de cambios, gestión de activos
Equipo:
Hannia Esther Mendez Muñoz
Melanie Guadalupe Dominguez Vazquez
Ari Betzareth Monreal Godina