Please enable JavaScript.
Coggle requires JavaScript to display documents.
Modulo 22: Gestión y cumplimiento - Coggle Diagram
Modulo 22: Gestión y cumplimiento
Gobernanza
Gestión
determina quién está autorizado a tomar decisiones sobre los riesgos de ciberseguridad dentro de una organización
roles clave
Propietario de datos
Controlador de datos
Procesador de datos
Custodio de datos
Administrador de datos
Funcionario de protección de datos
Políticas de Ciberseguridad
Que describir la visión de una organización para la ciberseguridad, objetivos, necesidades, alcance
tipos de políticas de ciberseguridad
Política de ciberseguridad
sirve como plan estratégico para implementar controles de ciberseguridad.
Política específica del sistema
se desarrolla para dispositivos o sistemas informáticos específicos y tiene como objetivo establecer la estandarización
Política de problemas específicos
se desarrolla para ciertos problemas operativos, circunstancias o condiciones que pueden requerir requisitos e instrucciones más detallados.
Tipos de Políticas de Seguridad
Una organización debe establecer políticas de seguridad claras y detalladas que todos los empleados conozcan
Política de identificación y autenticación
Politica de contraseñas
Política de uso aceptable
Política de acceso remoto
Politeia de mantenimiento de la red
Politica de manejo de accidentes
Politica de datos
Política de credenciales
Política organizacional
La Etica de la Ciberseguridad
Ética de un Especialista en Ciberseguridad
Como especialista en ciberseguridad, debe comprender tanto la ley como los intereses de una organización para poder tomar tales decisiones.
Tipos de etica:
Ética utilitarista
se basa en el principio rector de que la consecuencia de una acción es el factor más importante para determinar si la acción es moral o no.
Enfoque de los derechos
se guía por el principio que establece que un individuo tiene derecho a tomar sus propias decisiones
Enfoque del bien común
propone que las acciones éticas son las que benefician a toda la comunidad
Los Diez Mandamientos de la Ética Informática
Fue una de las primeras organizaciones en reconocer los problemas de políticas públicas y éticas que surgían del rápido crecimiento del campo de la tecnología de la información
No usaras una computadora para dañar otra
No interferir con el trabajo técnico de oras personas
No husmearas en los archivos informáticos de otras personas
No usar una computadora para robar
No usaras una computadora para dar falso testimonio
No usaras software que no hayas pagado
no apropiarte de la producción intelectual de otras personas
Deberás pensar en las consecuencias sociales del programa que estas haciendo
Siempre usaras una computadora con respeto a otras personas
Delito Cibernético
El delito cibernético se divide en tres categorías:
El delito informático
es donde una computadora es el blanco de actividades delictivas. Los ejemplos incluyen ataques de malware, el hackeo o ataques de denegación de servicio.
El delito asistido por computadora
ocurre cuando una computadora se utiliza para cometer un delito, como robo o fraude.
Un delito incidental informático
es cuando una computadora proporciona información incidental a un delito real. Por ejemplo, una computadora se utiliza para almacenar videos descargados ilegalmente, no la herramienta real utilizada para cometer el delito.
Derecho Cibernético
Ley estatutaria
Derecho administrativo
Derecho común
Leyes Específicas de la Industria
Finanzas
Contabilidad corporativa
Tarjetas de crédito
Criptografía
Leyes de Notificación de Infracciones a la Seguridad
Ley de privacidad de las comunicaciones electrónicas
Fraude informático y abuso
Protección de la Privacidad
Ley de privacidad de 1974
Ley de la libertad de la información
Ley de la protección de la privacidad infantil en lineal (COPPA)
Ley de privacidad y registros de educación familiar
Evaluación de impacto
Políticas de privacidad
SB 1386
PIA
CIPA
VPPA
Marco de Trabajo para la Administración de la Seguridad de TI
Los Doce Dominios de Ciberseguridad
ISO/IEC 27000 es una serie de estándares de seguridad de la información o mejores prácticas para ayudar a las organizaciones a mejorar la seguridad de la información
Evaluacion de riesgos
Política de seguridad
Organización de la seguridad de la información
Administración de dispositivos
Seguridad de los recursos humanos
Seguridad fisica y ambiental
Administracion de operaciones y comunicaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de sistemas de información
Cumplimiento
Administración de la continuidad del negocio
Objetivos de Control y Controles
Objetivos de control
Los objetivos de control definen los requisitos de alto nivel para implementar un sistema integral de administración de seguridad de la información
Controles
Los controles establecen cómo lograr los objetivos de control de una organización
El Marco de la Fuerza Laboral Nacional de Ciberseguridad
Operar y mantener
Proteger y defender
Investigar
Recopilar y operar
Analizar
Supervisor y administrar
Aprovisionamiento seguro
Los Controles Críticos de Seguridad CIS
Controles básico
Las organizaciones con recursos limitados y experiencia en ciberseguridad disponible
Controles fundamentales
Las organizaciones con recursos moderados y experiencia en ciberseguridad disponible deben implementar los controles básicos
Controles organizacionales
Las organizaciones con recursos significativos y experiencia en ciberseguridad disponible deben implementar los controles básicos y fundamentales
Cumplimiento
Es posible que los proveedores de servicios deban brindar garantías a sus organizaciones clientes que los controles de seguridad que implementan están correctamente diseñados y funcionan con eficacia.