Escuela de Gestión de Riesgos

Cómo gestionar riesgos tecnológicos

Por Escuela de Gestión de Riesgos el 27 de mayo de 2024

En esta sesión Jonathan Barbosa, experto en riesgos de seguridad de la información, nos enseña cuáles son los componentes de riesgos tecnológicos y qué hace cada uno, cómo gestionar los riesgos tecnológicos con base en el marco NIST Cybersecurity Framework o el ISO/IEC 27001.

Crear cuenta gratis

Componentes de riesgos tecnológicos

  • Seguridad Informática
  • Ciberseguridad
  • Seguridad de la Información

Seguridad Informática

La seguridad informática se centra en la protección de los sistemas informáticos y sus componentes, incluyendo hardware, software y datos. Su objetivo principal es asegurar que los recursos informáticos sean usados y gestionados de manera segura.

Es un término más técnico y específico, enfocado en la protección de infraestructuras tecnológicas y los dispositivos individuales.

Ciberseguridad

La ciberseguridad se enfoca específicamente en proteger los sistemas y redes conectados a Internet de ciberataques, ciberamenazas y accesos no autorizados.

Es un subconjunto de la seguridad informática, pero se concentra en el entorno online y las amenazas que provienen del ciberespacio.

Seguridad de la información

La seguridad de la información es el conjunto de medidas y controles diseñados para proteger la confidencialidad, integridad y disponibilidad de la información, independientemente de la forma que tome (digital, papel, verbal).

Es un término más amplio que la seguridad informática, abarcando todos los tipos de información, no solo los datos digitales. Incluye políticas, procedimientos y recursos humanos, además de las tecnologías.

Basándonos en marcos como NIST Cybersecurity Framework o el ISO/IEC 27001

  1. Establecer contexto:
  • Identificación de activos críticos
  • Identificación de partes interesadas
  • Identificación de requisitos legales y regulatorios

2. Identificar activos y amenazas:

  • Enumeración de activos
  • Identificación de amenazas

3. Evaluar vulnerabilidades:

  • Análisis de vulnerabilidade
  • Revisión de controles de seguridad existentes

4. Determinar probabilidad e impacto

  • Evaluación cualitativa y cuantitativa
  • Matriz de riesgos

Trabajo Colaborativo

Todas las organizaciones deben asegurar que la información que viaja por la red y por los equipos de comunicación que administra lleguen a su destino seguros.

5. Calificar y priorizar riesgos

  • Priorización de riesgos
  • Consideración de tolerancia al riesgo

Marco de referencia ISO 31000

  • Analizar y ordenar la estructura de los sistemas de información.
  • Establecer los procedimientos de trabajo para mantener su seguridad.
  • Disponer de controles para medir la eficacia de lo establecido en el punto anterior.

La idea es alcanzar un nivel de riesgo menor que el soportado por la institución, para preservar la confidencialidad, integridad y disponibilidad de la información.

Nueva llamada a la acción

¡Inscríbete gratis a la Escuela de Gestión de Riesgos!

Inscríbete-a-la-escuela-de-gestion-de-riesgos

No hay comentarios

Díganos lo que piensa