Info
Contacto Profe: [email protected]
Descripcion Ramo
Con los planos de inversion, Hay que llegar hasta donde satisfaga las necesidades, no llegas nunca a lo ideal, no existe el concepto de ideal, las tecnologias cambian y se actualizan muy rapido.
- “Asi funciona el mundo”
U1:
- Seguridad de Informacion - ISO 27005:2022 (4ta edicion), [Onedrive PDF](ISOIEC 27005 (2022) - Information security.pdf), Reemplaza ISO 13335-2
U2:
- Metodologias Seguras
U3:
- Gestion de Incidentes (Disaster Recovery) - ISO 27035
- Part 1: Principios y Procesos - Onedrive PDF
- Part 2: Guia para la planificacion y preparacion a la respuesta de incidentes - Onedrive PDF
Informacion Extra
- Gobierno de Seguridad y de la informacion (TO-DO: Hacer una red con los roles dentro del Gobierno de Seguridad de la informacion desde la direccion hasta trabajadores para hacer en mermaid) Roles y Responsabilidades
- Directorios
- Finanzas: Manejan los presupuestos y controlan los costos relacionados con la tecnologia y seguridad
- Recursos Humanos: Se encargan de las politicas de seguridad en torno a las personas, como el acceso y manejo de informacion
- Complimiento: Asegura que la empresa cumpla con regulaciones legales y normativas de seguridad (GDRP, ISO, etc.)
- Informatica: Apoyo Tecnologico a otros directorio
- Gerente
- Riesgos: Revisa los riesgos Actuales
- Tecnologias de la informacion: Planifica sobre tecnologias futuras
- Seguridad (CISO): Define politicas de seguridad y protocolos.
- Proyectos (PMO): Coordina proyectos relacionados con la implementacion de nuevas tecnologias y seguridad
- Auditoria: Responsable de controlar y revisar los controles y asegurar que los riesgos se gestionen correctamente
- Tecnologia (CTO): Jefe Tecnologico
- Organismos de Respuesta: Responden ante incidentes de seguridad
- CSIRT (Computer Security Incident Response Team)
- SOC (Security Operation Center)
- NOC (Network Operation Center)
- DRT (Disaster Recovery Team): Equipo que implementa el plan de recuperacion ante desastres
- IRT (Incident Response Team): Equipo especializado en responder rapidamente ante ciberdelitos
- BCP (Business Continuity Planning): Equipo que coordina la continuidad del negocio ante cualquier interrupcion
- Personal Tecnico: Analistas, Operadores, Especialistas, Monitoreo, etc.
- Gestion de Riegos en Redes Corporativas
- Tiene el objetivo de mantener el riesgo a niveles aceptables
- Analiza Riesgos e identifica amenazas externas como desastres naturales a travez de matrices de riesgo, las cuales clasifican en los sistemas
- CVE (Common Vulnerabilities and Exposures)
- CVSS (Common Vulnerability Scoring System)
- EPSS (Exploit Prediction Scoring System)
- DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability)
- OWASP Risk Rating Methodology
- FRAP (Facilitated Risk Analysis Process): Se centra en los riesgos mas criticas
- FAIR (Factor Analysis of Information Risk)
- Confidencialidad, Integridad e Integridad
- Metodo de Backup 3-2-1
- 3 Copias en total
- 2 lugares distintos
- 1 copia fuera de sitio
- Alta Disponibilidad
- Activo-Activo o Activo-Pasivo
- Redundancia de enlaces y respaldo de servidores
- Planificacion y Documentacion La documentacion debe ser clara y precisa
- Disaster Recovery Plan (DRP): Plan ante desastres para perder la menor parte de la infraestructura
- La alta gerencia debe estar al tanto de esta documentacion
- Terminologia Esencial
- PDCA: Permite mantener continuidad operacional
- COBIT 5: Framework de seguridad
- CSIRT: Centro de seguridad e integracion Respuesta de incidentes. Combinacion de un NOC y SOC
- NOC: Network Operation Center (Red)
- SOC: Security Operation Center (Vulnerabilidades)
- DAS: Direct Attached Storage, almacenamiento local no conectado a la red, Respaldo Externo
- CIA TRIAD (Confidentiality, Integrity, Availability)
- GDPR (General Data Protection Regulation): Ley Europea sobre la proteccion de datos y privacidad
- ZTA (Zero Trust Architecture): Modelo de seguridad donde ninguna entidad, ya sea externa o interna es confiable