SlideShare una empresa de Scribd logo

1.2 Introd a Gest-de-Riesgos-en-Cibx.pptx

Descargar como PPTX, PDF
M
MildredEchezano

Introducción a Gest de Riesgos de ciberseguridad

Tecnología
1 de 20
Introducción a la Gestión de Riesgos en Ciberseguridad La ciberseguridad es crucial en el mundo digital actual. Una gestión efectiva de riesgos es fundamental para proteger a las organizaciones de amenazas cibernéticas. Este proceso implica identificar, evaluar y mitigar los riesgos de manera estratégica y continua.
Principio 2: Identificar, Analizar y Responder al Riesgo La Administración, debe identificar, analizar y responder a los riesgos relacionados con el cumplimiento de los objetivos institucionales, considerando los riesgos de ciberseguridad. Principio 3: Identificar, Analizar y Responder al Cambio La Administración, debe identificar, analizar y responder a los cambios significativos que puedan impactar a la organización y cambiar al panorama de riesgos actual. Principio 1: Definir Objetivos El titular debe instruir a la administración y, en su caso, a las unidades especializadas la definición clara de los objetivos institucionales PRINCIPIOS ADMINISTRACIÓN DE RIESGOS
Identificación de Riesgos Cibernéticos 1 Vulnerabilidades de Software Mantenerse informado sobre vulnerabilidades conocidas y aplicar parches de seguridad de manera oportuna. 2 Ataques de Malware Estar alerta ante amenazas como virus, troyanos y ransomware que pueden comprometer la seguridad de los sistemas. 3 Phishing y Ingeniería Social Educar al personal sobre técnicas de engaño que buscan obtener información confidencial. 4 Amenazas Internas Considerar riesgos asociados a empleados o contratistas que puedan tener acceso privilegiado a datos sensibles.
Evaluación de Riesgos Cibernéticos Probabilidad Analizar la frecuencia y posibilidad de ocurrencia de cada riesgo identificado. Impacto Evaluar las consecuencias potenciales de la materialización de cada riesgo en términos de pérdidas financieras, daños a la reputación y otros aspectos. Priorización Clasificar y enfocar los esfuerzos en los riesgos de mayor criticidad.
GRADO DE IMPACTO DE UN RIESGO PONDERACIÓN CLASIFICACION DESCRIPCIÓN 10 Catastrófico Impacta en el cumplimiento de la misión de la organización. Suspende los programas o servicios. 9 8 Alto Impacta de manera significativa en los Objetivos Estratégicos. 7 6 Medio - Alto Impacto en los objetivos Estratégicos, pero se lleva un tiempo importante en solucionarlo. 5 4 Moderado Afecta el cumplimiento de Objetivos Directivos. 3 2 Insignificante Riesgo que puede tener un efecto mínimo o nulo en la institución 1
PROBABILIDAD DE OCURRENCIA DE UN RIESGO PONDERACIÓN CLASIFICACION PROBABILIDAD DE QUE OCURRA 10 Recurrente - 5 Muy Alta 9 8 Probable - 4 Alta 7 6 Posible - 3 Media 5 4 Inusual - 2 Baja 3 2 Remota - 1 Remota 1 Recurrente: más de 10 veces al año Probable: más de 5 veces y menos de 10. Posible: Más de 3 veces y menos de 5 Inusual: de 2 a 3 veces al año. Remota: Al menos 1 vez al año.
Evaluación de Riesgos Cibernéticos (1) Reconocimiento (Recognition) ▶Detección vulnerabilidades ▶Identifica ambientes ▶Identifica roles ▶Compromiso de credenciales ▶Identifica VPN ▶etc. (2) Subasta Auction ▶Hacker ofrece sus activos en la darknet ▶Le pone un precio ▶Grupo contraoferta y pide muestra ▶Grupo prueba la "Mercancía” ▶Cierra acuerdo (3) Preparación Preparation ▶Apertura Cuentas ▶Contrata mulas ▶Contrata insider ▶Canal de C&C ▶Túneles internos ▶Estudia procesos internos ▶Identifica umbrales de fraude ▶Realizan algunas pruebas (4) Ejecución Attack ▶Alteración de software (malware) ▶Transferencia desde cuentas falsas ▶Alteración de transacciones reales ▶Alteración de transacciones rechazadas ▶Suplantación de roles clave ▶Eliminación de rastros ▶Disrupción del negocio (DoS) Ciber ataque (Cyber Attack) - Modus Operandi
Estrategias de Mitigación de Riesgos 1 Evitar Eliminar o evitar por completo la actividad o el riesgo asociado. 2 Transferir Trasladar el riesgo a terceros, como aseguradoras o proveedores. 3 Mitigar Implementar controles y medidas para reducir la probabilidad o el impacto del riesgo.
Implementación de Controles de Seguridad Firewall Protege la red contra accesos no autorizados. Antivirus Detecta y elimina malware que pueda comprometer la seguridad. Cifrado Protege la confidencialidad de la información sensible. Respaldos Asegura la disponibilidad de la información ante incidentes.
Monitoreo y Revisión Continua Recopilación de Datos Monitorear actividades, eventos y tendencias en la infraestructura cibernética. Análisis y Evaluación Revisar periódicamente la efectividad de los controles implementados. Mejora Continua Ajustar y actualizar las estrategias de gestión de riesgos según sea necesario.
Respuesta y Recuperación ante Incidentes Plan de Respuesta Establecer protocolos y procedimientos para detectar, contener y mitigar incidentes de seguridad. Respuesta Oportuna Actuar de manera rápida y eficaz para minimizar el impacto de un incidente. Recuperación y Lecciones Aprendidas Restaurar la operatividad y analizar el incidente para mejorar la preparación futura. Comunicación Mantener informados a las partes interesadas y autoridades competentes durante y después del incidente.
ISO 27.001 Contexto, liderazgo, planeación, soporte Operación Evaluación del desempeño Mejora continua Sistema de Gestión de Seguridad de la Informacion Modelo conceptual de relaciones y de evaluación de riesgo (Model of relations and risk assessment)
Modelo conceptual de relaciones y de evaluación de riesgo (Model of relations and risk assessment)
RIESGO Es la posibilidad de que un evento pueda ocurrir y afecte negativamente en el logro de Objetivos Administrativo Legal Financiero Operativos Imagen TIC´s Entre otros
CÓMO ESTRUCTURAR UN RIESGO? Connotación Negativa + verbo Adjetivo o complemento circunstancial Sustantivo Sustantivo Adjetivo o adverbio negativo/ complemento circunstancial Verbo en participio Ó
Construir carreteras con calidad OBJETIVO Ejemplo: Imposibilidad de construir carreteras con calidad RIESGO Connotación Negativa + verbo Adjetivo o complemento circunstancial Sustantivo Sustantivo Adjetivo o adverbio negativo/ complemento circunstancial Verbo en participio Carreteras Construidas con mala calidad RIESGO
Ejemplos de riesgo Riesgos Impacto en Programa Anual de capacitación no cumplido. Procedimientos del área no actualizados No se realice un trabajo correctamente El personal no tenga la competencia requerida Actualizar los Procedimientos del área Objetivo Cumplir el Programa Anual de Capacitación Objetivo Riesgos Impacto en
¡Recapitulemos! La Gestión de Riesgos juega un papel muy importante en la implementación de las Estrategias de Ciberseguridad y los planes asociados. “EL MAYOR DE LOS RIESGOS, ES TENER DEBILIDADES DESCONOCIDAS”……
Conclusiones y Recomendaciones 1 Enfoque Integral La gestión de riesgos en ciberseguridad debe ser un proceso holístico que involucre a toda la organización. 2 Mejora Continua La revisión y actualización constante de las estrategias es fundamental para mantener la seguridad. 3 Concientización y Capacitación Educar y sensibilizar a los empleados sobre buenas prácticas de ciberseguridad es clave. 4 Colaboración y Alianzas Trabajar en conjunto con expertos y autoridades mejora la capacidad de respuesta ante amenazas.

Recomendados

_Semana 4.1 Análisis y evaluación de riesgo Enfoque CMMI y PMI-2.pptx
_Semana 4.1 Análisis y evaluación de riesgo Enfoque CMMI y PMI-2.pptx_Semana 4.1 Análisis y evaluación de riesgo Enfoque CMMI y PMI-2.pptx
_Semana 4.1 Análisis y evaluación de riesgo Enfoque CMMI y PMI-2.pptxJoelAlexVicuaHirea
 
CONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOSCONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOS1001976388
 
Metodología para gestionar riesgos
Metodología para gestionar riesgosMetodología para gestionar riesgos
Metodología para gestionar riesgosUCC_Elearning
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Fundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosFundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosRafael Mago
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Unidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezUnidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezezequielmejia123
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 

Recomendados

_Semana 4.1 Análisis y evaluación de riesgo Enfoque CMMI y PMI-2.pptx
_Semana 4.1 Análisis y evaluación de riesgo Enfoque CMMI y PMI-2.pptx_Semana 4.1 Análisis y evaluación de riesgo Enfoque CMMI y PMI-2.pptx
_Semana 4.1 Análisis y evaluación de riesgo Enfoque CMMI y PMI-2.pptxJoelAlexVicuaHirea
 
CONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOSCONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOS1001976388
 
Metodología para gestionar riesgos
Metodología para gestionar riesgosMetodología para gestionar riesgos
Metodología para gestionar riesgosUCC_Elearning
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Fundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosFundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosRafael Mago
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Unidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezUnidad2 adminstracion-de-riesgos...javier-gonzalez
Unidad2 adminstracion-de-riesgos...javier-gonzalezezequielmejia123
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
Risk management original
Risk management originalRisk management original
Risk management originalCarlos Escobar
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticosMarcos ALVAREZ RIVERA
 
Proyecto informatico
Proyecto informaticoProyecto informatico
Proyecto informaticoMarcos ALVAREZ RIVERA
 
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarialCristian Bailey
 
Factor Crítico de Éxito - Resumen
Factor Crítico de Éxito - ResumenFactor Crítico de Éxito - Resumen
Factor Crítico de Éxito - ResumenMikaR123
 
PMI Gestion de Riesgos
PMI Gestion de RiesgosPMI Gestion de Riesgos
PMI Gestion de RiesgosCarlos Cardenas Fernandez
 
guia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfguia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfNicanor Sachahuaman
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfmsotelo2
 
Direccion proyectos-riesgos (2/4)
Direccion proyectos-riesgos (2/4)Direccion proyectos-riesgos (2/4)
Direccion proyectos-riesgos (2/4)José Alberto García Gutiérrez
 
Sesion Matriz de Riesgos.pdf
Sesion Matriz de Riesgos.pdfSesion Matriz de Riesgos.pdf
Sesion Matriz de Riesgos.pdfRonaldCalderonAlarco1
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
GESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxGESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxEdgar Barrientos
 
Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de RiesgosInstitución Univeristaria de Envigado - SGI
 
Clase 2 practica
Clase 2 practicaClase 2 practica
Clase 2 practicaRicardo-c
 
CI Semana 1 - Unidad 1 .pdf
CI Semana 1 - Unidad 1 .pdfCI Semana 1 - Unidad 1 .pdf
CI Semana 1 - Unidad 1 .pdfJenniferMariluzCordo
 
Unidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicosUnidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicosToTCOOPiTech
 
Gestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptxGestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptxjenriquevasquez
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Más contenido relacionado

Similar a 1.2 Introd a Gest-de-Riesgos-en-Cibx.pptx

Risk management original
Risk management originalRisk management original
Risk management originalCarlos Escobar
 
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarialCristian Bailey
 
Factor Crítico de Éxito - Resumen
Factor Crítico de Éxito - ResumenFactor Crítico de Éxito - Resumen
Factor Crítico de Éxito - ResumenMikaR123
 
guia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfguia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfNicanor Sachahuaman
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfmsotelo2
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
GESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxGESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxEdgar Barrientos
 
Clase 2 practica
Clase 2 practicaClase 2 practica
Clase 2 practicaRicardo-c
 
Unidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicosUnidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicosToTCOOPiTech
 
Gestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptxGestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptxjenriquevasquez
 

Similar a 1.2 Introd a Gest-de-Riesgos-en-Cibx.pptx (20)

Risk management original
Risk management originalRisk management original
Risk management original
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticos
 
Proyecto informatico
Proyecto informaticoProyecto informatico
Proyecto informatico
 
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
PECB Webinar in Spanish: Principios de Gestión de Riesgo basados en ISO 31000
 
Gestion riesgo empresarial
Gestion riesgo empresarialGestion riesgo empresarial
Gestion riesgo empresarial
 
Factor Crítico de Éxito - Resumen
Factor Crítico de Éxito - ResumenFactor Crítico de Éxito - Resumen
Factor Crítico de Éxito - Resumen
 
PMI Gestion de Riesgos
PMI Gestion de RiesgosPMI Gestion de Riesgos
PMI Gestion de Riesgos
 
guia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfguia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdf
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdf
 
Direccion proyectos-riesgos (2/4)
Direccion proyectos-riesgos (2/4)Direccion proyectos-riesgos (2/4)
Direccion proyectos-riesgos (2/4)
 
Sesion Matriz de Riesgos.pdf
Sesion Matriz de Riesgos.pdfSesion Matriz de Riesgos.pdf
Sesion Matriz de Riesgos.pdf
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
GESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxGESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptx
 
Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de Riesgos
 
Clase 2 practica
Clase 2 practicaClase 2 practica
Clase 2 practica
 
CI Semana 1 - Unidad 1 .pdf
CI Semana 1 - Unidad 1 .pdfCI Semana 1 - Unidad 1 .pdf
CI Semana 1 - Unidad 1 .pdf
 
Unidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicosUnidad 9 - Gestión de riesgos estratégicos
Unidad 9 - Gestión de riesgos estratégicos
 
Gestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptxGestion_riesgo_y_corrupcion.pptx
Gestion_riesgo_y_corrupcion.pptx
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 

Último (13)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 

1.2 Introd a Gest-de-Riesgos-en-Cibx.pptx

  • 1. Introducción a la Gestión de Riesgos en Ciberseguridad La ciberseguridad es crucial en el mundo digital actual. Una gestión efectiva de riesgos es fundamental para proteger a las organizaciones de amenazas cibernéticas. Este proceso implica identificar, evaluar y mitigar los riesgos de manera estratégica y continua.
  • 2. Principio 2: Identificar, Analizar y Responder al Riesgo La Administración, debe identificar, analizar y responder a los riesgos relacionados con el cumplimiento de los objetivos institucionales, considerando los riesgos de ciberseguridad. Principio 3: Identificar, Analizar y Responder al Cambio La Administración, debe identificar, analizar y responder a los cambios significativos que puedan impactar a la organización y cambiar al panorama de riesgos actual. Principio 1: Definir Objetivos El titular debe instruir a la administración y, en su caso, a las unidades especializadas la definición clara de los objetivos institucionales PRINCIPIOS ADMINISTRACIÓN DE RIESGOS
  • 3. Identificación de Riesgos Cibernéticos 1 Vulnerabilidades de Software Mantenerse informado sobre vulnerabilidades conocidas y aplicar parches de seguridad de manera oportuna. 2 Ataques de Malware Estar alerta ante amenazas como virus, troyanos y ransomware que pueden comprometer la seguridad de los sistemas. 3 Phishing y Ingeniería Social Educar al personal sobre técnicas de engaño que buscan obtener información confidencial. 4 Amenazas Internas Considerar riesgos asociados a empleados o contratistas que puedan tener acceso privilegiado a datos sensibles.
  • 4.
  • 5. Evaluación de Riesgos Cibernéticos Probabilidad Analizar la frecuencia y posibilidad de ocurrencia de cada riesgo identificado. Impacto Evaluar las consecuencias potenciales de la materialización de cada riesgo en términos de pérdidas financieras, daños a la reputación y otros aspectos. Priorización Clasificar y enfocar los esfuerzos en los riesgos de mayor criticidad.
  • 6. GRADO DE IMPACTO DE UN RIESGO PONDERACIÓN CLASIFICACION DESCRIPCIÓN 10 Catastrófico Impacta en el cumplimiento de la misión de la organización. Suspende los programas o servicios. 9 8 Alto Impacta de manera significativa en los Objetivos Estratégicos. 7 6 Medio - Alto Impacto en los objetivos Estratégicos, pero se lleva un tiempo importante en solucionarlo. 5 4 Moderado Afecta el cumplimiento de Objetivos Directivos. 3 2 Insignificante Riesgo que puede tener un efecto mínimo o nulo en la institución 1
  • 7. PROBABILIDAD DE OCURRENCIA DE UN RIESGO PONDERACIÓN CLASIFICACION PROBABILIDAD DE QUE OCURRA 10 Recurrente - 5 Muy Alta 9 8 Probable - 4 Alta 7 6 Posible - 3 Media 5 4 Inusual - 2 Baja 3 2 Remota - 1 Remota 1 Recurrente: más de 10 veces al año Probable: más de 5 veces y menos de 10. Posible: Más de 3 veces y menos de 5 Inusual: de 2 a 3 veces al año. Remota: Al menos 1 vez al año.
  • 8. Evaluación de Riesgos Cibernéticos (1) Reconocimiento (Recognition) ▶Detección vulnerabilidades ▶Identifica ambientes ▶Identifica roles ▶Compromiso de credenciales ▶Identifica VPN ▶etc. (2) Subasta Auction ▶Hacker ofrece sus activos en la darknet ▶Le pone un precio ▶Grupo contraoferta y pide muestra ▶Grupo prueba la "Mercancía” ▶Cierra acuerdo (3) Preparación Preparation ▶Apertura Cuentas ▶Contrata mulas ▶Contrata insider ▶Canal de C&C ▶Túneles internos ▶Estudia procesos internos ▶Identifica umbrales de fraude ▶Realizan algunas pruebas (4) Ejecución Attack ▶Alteración de software (malware) ▶Transferencia desde cuentas falsas ▶Alteración de transacciones reales ▶Alteración de transacciones rechazadas ▶Suplantación de roles clave ▶Eliminación de rastros ▶Disrupción del negocio (DoS) Ciber ataque (Cyber Attack) - Modus Operandi
  • 9. Estrategias de Mitigación de Riesgos 1 Evitar Eliminar o evitar por completo la actividad o el riesgo asociado. 2 Transferir Trasladar el riesgo a terceros, como aseguradoras o proveedores. 3 Mitigar Implementar controles y medidas para reducir la probabilidad o el impacto del riesgo.
  • 10. Implementación de Controles de Seguridad Firewall Protege la red contra accesos no autorizados. Antivirus Detecta y elimina malware que pueda comprometer la seguridad. Cifrado Protege la confidencialidad de la información sensible. Respaldos Asegura la disponibilidad de la información ante incidentes.
  • 11. Monitoreo y Revisión Continua Recopilación de Datos Monitorear actividades, eventos y tendencias en la infraestructura cibernética. Análisis y Evaluación Revisar periódicamente la efectividad de los controles implementados. Mejora Continua Ajustar y actualizar las estrategias de gestión de riesgos según sea necesario.
  • 12. Respuesta y Recuperación ante Incidentes Plan de Respuesta Establecer protocolos y procedimientos para detectar, contener y mitigar incidentes de seguridad. Respuesta Oportuna Actuar de manera rápida y eficaz para minimizar el impacto de un incidente. Recuperación y Lecciones Aprendidas Restaurar la operatividad y analizar el incidente para mejorar la preparación futura. Comunicación Mantener informados a las partes interesadas y autoridades competentes durante y después del incidente.
  • 13. ISO 27.001 Contexto, liderazgo, planeación, soporte Operación Evaluación del desempeño Mejora continua Sistema de Gestión de Seguridad de la Informacion Modelo conceptual de relaciones y de evaluación de riesgo (Model of relations and risk assessment)
  • 14. Modelo conceptual de relaciones y de evaluación de riesgo (Model of relations and risk assessment)
  • 15. RIESGO Es la posibilidad de que un evento pueda ocurrir y afecte negativamente en el logro de Objetivos Administrativo Legal Financiero Operativos Imagen TIC´s Entre otros
  • 16. CÓMO ESTRUCTURAR UN RIESGO? Connotación Negativa + verbo Adjetivo o complemento circunstancial Sustantivo Sustantivo Adjetivo o adverbio negativo/ complemento circunstancial Verbo en participio Ó
  • 17. Construir carreteras con calidad OBJETIVO Ejemplo: Imposibilidad de construir carreteras con calidad RIESGO Connotación Negativa + verbo Adjetivo o complemento circunstancial Sustantivo Sustantivo Adjetivo o adverbio negativo/ complemento circunstancial Verbo en participio Carreteras Construidas con mala calidad RIESGO
  • 18. Ejemplos de riesgo Riesgos Impacto en Programa Anual de capacitación no cumplido. Procedimientos del área no actualizados No se realice un trabajo correctamente El personal no tenga la competencia requerida Actualizar los Procedimientos del área Objetivo Cumplir el Programa Anual de Capacitación Objetivo Riesgos Impacto en
  • 19. ¡Recapitulemos! La Gestión de Riesgos juega un papel muy importante en la implementación de las Estrategias de Ciberseguridad y los planes asociados. “EL MAYOR DE LOS RIESGOS, ES TENER DEBILIDADES DESCONOCIDAS”……
  • 20. Conclusiones y Recomendaciones 1 Enfoque Integral La gestión de riesgos en ciberseguridad debe ser un proceso holístico que involucre a toda la organización. 2 Mejora Continua La revisión y actualización constante de las estrategias es fundamental para mantener la seguridad. 3 Concientización y Capacitación Educar y sensibilizar a los empleados sobre buenas prácticas de ciberseguridad es clave. 4 Colaboración y Alianzas Trabajar en conjunto con expertos y autoridades mejora la capacidad de respuesta ante amenazas.