El documento define los conceptos de ciberseguridad, seguridad de la información y seguridad informática, y explica que la ciberseguridad se enfoca en proteger activos digitales en sistemas interconectados, mientras que la seguridad de la información busca proteger todos los activos sin importar su forma y la seguridad informática involucra métodos para proteger sistemas y activos digitales de forma general. También describe los principios básicos de confidencialidad, disponibilidad e integridad en la seguridad.

1. Cyberseguridad: “Protección de activos de información, mediante el tratamiento de
las amenazas que ponen en riesgo la información que se procesa, se almacena y se
transporta mediante los sistemas de información que se encuentran interconectados”
ISACA
Seguridad de la información: “Conjunto de medidas
preventivas y reactivas que procuran proteger los activos de
información en sus diferentes formas a través de la reducción
de riesgos a un nivel aceptable, mitigando las amenazas
latentes..”
Seguridad Informática: Conjunto de métodos, procesos o
técnicas para la protección de los sistemas informáticos
(redes e infraestructura) y la información en formato digital
que éstos almacenen.
Seguridad: “Libre o exento de todo peligro, daño o riesgos”
Real Academia Española (RAE)

2. Principios de Seguridad
Confidencialidad.-
propiedad que asegura que
la información es accedida
solamente por personal o
entidad autorizada y es
conocida también como
privacidad o secrecía.
Disponibilidad.- propiedad que asegura de manera
razonable que los activos de la información son utilizables
por personal autorizado en su uso y demanda.
Integridad.- propiedad
que asegura que la
información no es
alterada sin
autorización en su
trasporte, procesamiento
o almacenamiento.

3. Seguridad Informática involucra los métodos, procesos o técnicas para proteger activos de
información en formato digital y los sistemas informáticos que los procesan y
almacenan, indistintamente si están interconectados o no.
La ciberseguridad, se orienta a proteger a los activos de información en formato digital que
circulan a través de sistemas interconectados. A diferencia de la seguridad de la
información, en la ciberseguridad se aplican medidas ofensivas y no solo de defensa
La seguridad de la información se orienta a proteger los activos de información sin importar
su forma o estado, valiéndose de metodologías, normas, técnicas, herramientas, estructuras
organizacionales, tecnología y otros elementos, para la aplicación y gestión de las medidas de
seguridad apropiadas en cada caso. Por tanto, abarca tanto a la seguridad informática, como la
seguridad computacional y la cyberseguridad.

4. Conjunto de circunstancias,
eventos, situaciones que
tiene el potencial de causar
daño
Amenaza
Debilidad que
puede ser
utilizada para
causar daño
Vulnerabilidad
Circunstancia de ser
algo probable
Probabilidad
Activo
Recurso de valor a
la organización para
alcanzar sus
objetivos
Potencial de que cierta amenaza pueda
explotar las vulnerabilidades de un activo o
grupo de activos y causar daño a la
organización
ISO 27005
Impacto
Riesgo
Medir la consecuencia
al materializarse una
amenaza

5. Gestion de riesgos
Comprende la identificación y entendimiento del contexto
de los riesgos de negocio, para posteriormente hacer un
Gap Analysis (análisis de brecha) sobre los controles de TI
actuales mapeados contra los controles necesarios
basados en la metodología que la compañía siga o a través
de algunos frameworks, guidelines y mejores prácticas, los
cuales ayuden a soportar y cumplir con la exigencia del
control interno de TI.
IDENTIFICAR
Tipos de Activos
• Relevancia
• Inventario de
Activos
ANALIZAR
Tipos de riesgo
• Amenaza
• Impacto
• Severidad y
probabilidad
EVALUAR
• GAP Analysis
• Informes
TRATAR
• Mejora Continua
• Plan de
Tratamiento
• Cronograma de
riesgos
• Implementación
de Controles

6. Se determina que el riesgo es lo bastante significativo para la organización
por lo que se desarrollan e implementan controles que reduzcan el riesgo
a un nivel aceptable.
MITIGAR
Se determina que la probabilidad de
materialización del riesgo o su impacto es
demasiado bajo.
Costo de la implementación de controles es muy
elevado.
ACEPTAR
Se determina que el riesgo es lo bastante
significativo como para ser tratado con los
recursos de la organización, por lo que es
necesario que alguna entidad interna o
externa con capacidades necesarias dé
atención al mismo.
TRANSFERIR
Se determina que la probabilidad de ocurrencia del
riesgo se puede evitar tomando medidas drásticas
previamente analizadas.
EVADIR

7. “Es el riesgo resultante de la implementación de un enfoque de
mitigación para la reducción de un Riesgo, el Riesgo residual debe
ser aceptable para la organización”
RIESGO RESIDUAL

8. Gobierno de seguridad de la información
Dirección estratégica, garantiza los objetivos establecidos, gestiona los riesgos de forma
apropiada, usa los recursos organizacionales responsablemente y monitorea el éxito o
falla del programa de seguridad.
Gestión de identidades (IDM), también llamada «gestión de identidades y accesos»
(IAM), garantiza que solamente las personas autorizadas, y nadie más, tengan acceso a los
recursos tecnológicos que necesitan para realizar su trabajo. Incluye las políticas y
tecnologías que conforman un proceso, que abarca toda la organización, para identificar,
autenticar y autorizar adecuadamente a personas, grupos de personas o aplicaciones de
software a través de atributos como los derechos de acceso de los usuarios y las
restricciones basadas en sus identidades.
Control de accesos
Permite o restringe la entrada de una persona o vehículo a una empresa o a una
determinada zona de la misma. Sus principales objetivos son no solo garantizar la seguridad
sino también facilitar la organización empresarial.

9. POSEER CONOCER SER

10. Derechos
ARCO