El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Plan Director del Instituto Nacional de Ciberseguridad Español

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
El Plan Director del Instituto Nacional de Ciberseguridad en España ha sido diseñado como un proceso dividido en fases para que la seguridad de la información sea parte de los planes de negocio, sea cual sea el tamaño de la empresa.

Transcripción

INCIBE son las siglas de Instituto Nacional de Ciberseguridad de España, que es un organismo público, dependiente, en la actualidad, del Ministerio de Energía, Turismo y Agenda Digital. Entre otras cosas, promueve servicios e investigación en materia de seguridad de la información y de coordinación con otros organismos públicos y privados en la misma materia. Una de sus funciones específicas es el asesoramiento y concienciación a la empresa privada para la adopción de planes de seguridad que minimicen los riesgos a que están expuestas en materia de ciberseguridad. Para ello, su principal programa es el Plan Director de Seguridad, que es el establecimiento de prioridades y la asignación de responsables y recursos por parte de la dirección de una empresa para mejorar el nivel de seguridad de la misma en entornos digitales. El Plan Director de Seguridad contempla la seguridad desde tres frentes: Como INCIBE tiene interés en que toda empresa de cualquier tamaño y sector pueda diseñar sus propios planes, ha desglosado el proyecto en fases. La fase 1 es la de autoevaluación, en la que la empresa tiene que estudiar su situación actual, inventariando y analizando su parque tecnológico, calculando los riesgos a los que está expuesta e incluso haciendo una auditoría de la ISO27002, no con el objetivo de obtener una evaluación positiva, sino de que un auditor externo le revele los puntos débiles desde su posición de independencia. La segunda fase sigue siendo de análisis, pero en lugar de centrarse en la técnica, se dedicará a estudiar la estrategia de la empresa. Los planes de seguridad deben ir ligados al rumbo de la empresa para apoyarlos, al igual que lo hacen la administración, la logística, el marketing o las ventas. Para ello, es necesario definir la orientación y dirección estratégica de la empresa, conocer las alianzas y dependencias, conocer los proyectos, tanto en curso como futuros, y, en muy gran medida, los planes de centralización o externalización de recursos y servicios de la entidad. En la tercera fase, definiremos los proyectos e iniciativas que queremos acometer, basándonos en la información recogida en las fases previas para alcanzar el nivel de seguridad deseado, es decir, para hacer que el riesgo residual, tras aplicar estos planes, sea igual o menor al que consideramos aceptable. Los proyectos que emprenderemos serán de distinta índole y calado y deben empezar desde los procesos más básicos. Para empezar, mejoraremos los procesos productivos y nos aseguraremos de que cumplan con la legislación y normas que nos correspondan. A continuación, acometeremos la remediación de los problemas detectados durante la fase 1, es decir, diseñaremos los controles necesarios para disuadir, prevenir y controlar los potenciales incidentes asociados a los riesgos que hayamos detectado. Y, por último, planificaremos las medidas reactivas o correctivas para minimizar el impacto de los incidentes que no seamos capaces de evitar. La fase 4 de implementación del Plan Director de Seguridad se ocupa de la clasificación y priorización de los planes diseñados en la fase 3 en base a su coste económico, de recursos humanos y temporal para dividirlos en planes a corto, medio y largo plazo. La inversión económica y de tiempo para la clasificación de los planes no debe ser el único parámetro a considerar también tenemos que tener en cuenta las obligaciones legales, la criticidad de algunos de los riesgos detectados, etc. La suma de todos estos factores, servirá para establecer qué medidas se ponen en marcha en primer lugar y cuáles pueden ser pospuestas sin que el riesgo sea inasumible. Hay medidas que pueden implementarse con facilidad y bajo coste y es recomendable aplicarlas en cuanto sea posible, aunque afecten a riesgos de bajo nivel porque minimizan la posible superficie de ataque y aumentan la seguridad general de nuestra organización. También podemos considerar la agrupación de medidas que estén directamente relacionadas o que compartan costes y recursos de forma que, puestos a, por ejemplo, implementar una zona desmilitarizada para el servidor web, podemos generar redes virtuales o VLANs para separar departamentos a nivel lógico haciendo que todo el tráfico entre subsedes sea gestionado por el firewall, cuyo coste de adquisición es el mismo tanto si le sacamos el máximo rendimiento, como si lo infrautilizamos. Una vez conocidos los riesgos, los objetivos y desarrollados y clasificados los controles específicos, toca acometer la fase 5 la dirección de la organización debe revisar y, si se considera satisfactorio, aprobar el Plan Director de Seguridad. Es importante que sea la dirección de la empresa y no el departamento de IT quien se encargue de esta gestión por varios motivos: El primero es que será consciente de todo lo que el juego, también comprenderá qué recursos hay que asignar y por qué y, por último, comunicará a toda la plantilla de la organización los cambios organizativos que el Plan Director de Seguridad pueda implicar y solicitará y ordenará la colaboración de todos los equipos asignados a cada control. Y, ¿cómo no?, la forma de acabar es con la sexta y última fase: la implementación del plan. Se debe exponer el Plan Director a los responsables de cada área afectada. Se deben designar equipos de trabajo y responsables de la implementación de cada control y directiva. Y se debe establecer el calendario de implementación y, no menos importante, el de evaluación periódica tanto de los controles implementados, como de detección y reevaluación de riesgos. Todo el proceso de implementación de controles de riesgos debe estar documentado, con sus éxitos y deficiencias para aplicar medidas correctivas en cada ciclo del Plan Director de Seguridad.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:29/08/2017

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.