Gestión de Seguridad de la Información
En este curso de Gestión de Seguridad de la Información con Andrés Olarte, especialista en seguridad de la información con énfasis en ciberseguridad y protección de datos personales, conocerás por qué es importante gestionar la seguridad de la información en las organizaciones, cómo implementar un SGSI, entre otros aspectos claves.
Lo que aprenderás en 5 módulos
Módulo 5
Pruebas, sensibilización y evaluación del Sistema de Gestión de Seguridad de la Información
Módulo 1
En este módulo del curso entenderás la importancia de la seguridad de la información, cómo ha evolucionado, cuáles son los atributos de la información, por qué las organizaciones deben implementar un SGSI, cuáles son las normativas aplicables a este tema y los pasos a seguir para implementar un Sistema de Gestión de Seguridad de la Información.
Hoy las organizaciones deben contar con una estrategia de seguridad de la información que les permita proteger sus activos, imagen y reputación, así mismo con un SGSI que sea efectivo y práctico.
La confidencialidad, integridad y disponibilidad son los tres atributos que las organizaciones actuales deben garantizar a través de la seguridad de la información.
La información es el principal pilar de las organizaciones, por eso se debe gestionar de manera adecuada e integral por medio de un Sistema de Gestión de Seguridad de la Información.
Existen diferentes estándares nacionales e internacionales para la implementación de la seguridad de la información en las organizaciones. Algunos de estos son la ISO 27001, la ISO 27005 y la NIST SP 800.
Para implementar un SGSI a partir de la ISO 27001 es importante tener en cuenta los 14 dominios de control que establece: políticas, organización, recurso humano, recursos, accesos, criptografía, seguridad física, operación, comunicaciones, sistemas, proveedores, incidentes, continuidad de negocio y cumplimiento.
Módulo 2
En este módulo conocerás sobre el modelo PHVA en el SGSI, la importancia del liderazgo en este sistema, los diferentes roles y responsabilidades y sobre la estructura organizacional y documental de seguridad de la información.
Para la mejora continua del Sistema de Gestión de Seguridad de la Información es recomendable utilizar el modelo PHVA: Planear - Hacer - Verificar - Actuar.
La alta gerencia es la principal responsable de definir, implementar y comunicar la seguridad de la información a toda la organización, igualmente debe establecer los roles y responsabilidades del sistema.
La Política de Seguridad de la Información demuestra el compromiso de la alta gerencia de la organización con proteger su activo más importante, la información. Esta política debe estar accesible para todos.
En seguridad de la información los principales roles son líder, oficial, analista y ejecutor. Quien tenga el rol de oficial debe, entre otras funciones, reportar a la alta gerencia y trabajar basándose en la gestión de riesgos y activos de información.
Para el buen funcionamiento y mantenimiento de la seguridad de la información es necesario contar con recursos que pueden ser físicos, tecnológicos, tangibles e intangibles.
En seguridad de la información se habla de una estructura organizacional y una estructura documental, ambas deben definirse teniendo en cuenta aspectos como el tamaño de la organización, productos, servicios, recursos disponibles, entre otros.
Una vez al año, como mínimo, la alta gerencia debe revisar el SGSI para garantizar su conveniencia, adecuación y eficacia.
Módulo 3
En este módulo aprenderás las diferencias entre una amenaza, un evento y un incidente, cuáles son los riesgos de seguridad de la información, los activos e inventario y cómo implementar estrategias.
La seguridad de la información en las organizaciones tiene como objetivo principal proteger los datos, evitar su pérdida y que sea modificada sin autorización. Busca garantizar la confidencialidad, la integridad y la disponibilidad.
Conoce en qué consisten estos tres conceptos relacionados con la seguridad de la información y algunos ejemplos de cada uno.
Algunos de los riesgos de seguridad de la información a los que puede estar expuesta una organización son: daño o alteración, destrucción física, pérdida de la información, hackeo, eliminación, entre otros. Para identificar y gestionar este tipo de riesgos es importante considerar la confidencialidad, integridad y disponibilidad.
Existen diferentes tipos de información: confidencial, restringida, de uso interno y pública. Es clave conocer esto para realizar un adecuado inventario, clasificación y valoración de los activos de información de la organización.
Las estrategias permiten definir qué se va a hacer para garantizar y proteger la confidencialidad, integridad y disponibilidad de los activos de información.
Módulo 4
En este módulo conocerás sobre eventos e incidentes en seguridad de la información, qué tipos existen y cómo actuar ante estos, además, conocerás sobre la implementación de los 14 dominios de control que propone la norma ISO 27001.
Un evento indica una posible violación a la seguridad de la información y un incidente es un evento repetitivo que puede comprometer las operaciones del negocio. Conoce cómo actuar ante un evento y un incidente.
La norma ISO 27001 establece 14 dominios de control que deben ser implementados adecuadamente para asegurar la efectividad del Sistema de Gestión de Seguridad de la Información. Aprende en qué consisten cada uno de estos dominios de control.
Módulo 5
En este último módulo conocerás pruebas y ejercicios para aplicar en seguridad de la información, también la importancia de la sensibilización y la cultura en SGSI, sobre la auditoría y la evaluación para la mejora continua.
Las pruebas de seguridad permiten conocer cómo quedó implementado el sistema y si es necesario hacer correcciones para evitar algún evento o incidente. Las pruebas deben planearse, ejecutarse y medir sus resultados.
A través de la sensibilización se puede generar conciencia y cultura en seguridad de la información en todos los miembros de la organización. Es recomendable hacerlo de manera práctica y dinámica para lograr los resultados esperados, además, debe ser algo planeado.
Las auditorías, internas y externas, ayudan a tener un programa efectivo de seguridad de la información en la organización. Deben ser realizadas por personal idóneo y competente.
El mantenimiento y mejora de seguridad de la información consiste en revisar de forma periódica los controles, procedimientos, políticas, protocolos, informes de pruebas y planes de capacitación del personal. El SGSI debe ser revisado como mínimo una vez al año.
Debido a la pandemia ocasionada por el Covid 19, la seguridad de la información y la ciberseguridad cada vez son pilares fundamentales de los negocios, pues los delincuentes cibernéticos están atentos a cualquier vulnerabilidad para afectar los sistemas.
En los próximos años la seguridad de la información estará mucho más integrada a los procesos y sistemas de las organizaciones, además, será considerada parte del día a día y no solo como algo que refiere a eventos o incidentes.
✨¡Felicitaciones por haber completado este curso!✨
Por último, te invitamos a seguir capacitándote en temas de tu interés sobre gestión de riesgos a través de toda la oferta de valor que tenemos para ti en Pirani.