Sesión 2 [Módulo 1] ingenieria siste.pdf
xavierfull150
30 views
16 slides
Sep 06, 2025
Slide 1 of 16
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
About This Presentation
clases upn ingenieria de sistemas laboratorio redes 1
Slide Content
UPN, PASIÓN POR
TRANSFORMAR VIDAS
SESIÓN 2: Gestión de Riesgos: conceptos y ciclo del SGSI,
identificación de activos. Gestión de los proyectos
tradicionales según PMI para aplicaciones relacionadas con
seguridad informática.
SEGURIDAD
INFORMATICA
Dr. Edwin Mendoza Torres
TRANSFORMAR VIDAS
SESIÓN 2: Gestión de Riesgos: conceptos y ciclo del SGSI,
identificación de activos. Gestión de los proyectos
tradicionales según PMI para aplicaciones relacionadas con
seguridad informática.
SEGURIDAD
INFORMATICA
Dr. Edwin Mendoza Torres
LOGRO DE LA SESIÓN
Al finar la sesión, entiendes el concepto de Gestión de Riesgos: conceptos y ciclo del
SGSI, identificación de activos, de políticas de seguridad y aplica un análisis de
riesgos basados en los activos críticos de una organización. Además entiende como
Gestionar proyectos tradicionales según PMI para aplicaciones relacionadas con
seguridad informática.
Al finar la sesión, entiendes el concepto de Gestión de Riesgos: conceptos y ciclo del
SGSI, identificación de activos, de políticas de seguridad y aplica un análisis de
riesgos basados en los activos críticos de una organización. Además entiende como
Gestionar proyectos tradicionales según PMI para aplicaciones relacionadas con
seguridad informática.
¡Pregunta!
¿Qué es Gestión de Riesgos y ciclos del SGSI?
¿Qué es una política de seguridad?
¿Como es la gestión de proyectos según PMI?
¿Qué es Gestión de Riesgos y ciclos del SGSI?
¿Qué es una política de seguridad?
¿Como es la gestión de proyectos según PMI?
preencoded. png
Gestión de Riesgos y
Proyectos de Seguridad
Informática
Una visión integral del ciclo SGSI, identificación de activos críticos y gestión
de proyectos según PMI
Gestión de Riesgos y
Proyectos de Seguridad
Informática
Una visión integral del ciclo SGSI, identificación de activos críticos y gestión
de proyectos según PMI
preencoded. png
Introducción
Fundamentos de la Gestión de Riesgos en Seguridad de la
Información
La gestión de riesgos constituye el núcleo de cualquier estrategia de seguridad efectiva,
permitiendo a las organizaciones:
•Identificar vulnerabilidades y amenazas potenciales
•Proteger activos críticos de información
•Cumplir con requisitos normativos y legales
•Optimizar la inversión en controles de seguridad
Introducción
Fundamentos de la Gestión de Riesgos en Seguridad de la
Información
La gestión de riesgos constituye el núcleo de cualquier estrategia de seguridad efectiva,
permitiendo a las organizaciones:
•Identificar vulnerabilidades y amenazas potenciales
•Proteger activos críticos de información
•Cumplir con requisitos normativos y legales
•Optimizar la inversión en controles de seguridad
preencoded. png
El Sistema de Gestión de Seguridad de la
Información (SGSI)
Un SGSI proporciona un marco sistemático para proteger la información de una organización.
Planificar
Establecer el contexto, alcance, políticas y
objetivos del SGSI. Identificar activos,
amenazas y riesgos. Seleccionar controles.
Hacer
Implementar y operar las políticas, procesos,
procedimientos y controles seleccionados.
Verificar
Monitorizar y revisar el rendimiento del
SGSI. Realizar auditorías internas y
evaluaciones periódicas.
Actuar
Implementar acciones correctivas y
preventivas basadas en los resultados de las
auditorías y revisiones.
Basado en el ciclo PDCA (Planificar-Hacer-Verificar-Actuar) de la norma ISO/IEC 27001
El Sistema de Gestión de Seguridad de la
Información (SGSI)
Un SGSI proporciona un marco sistemático para proteger la información de una organización.
Planificar
Establecer el contexto, alcance, políticas y
objetivos del SGSI. Identificar activos,
amenazas y riesgos. Seleccionar controles.
Hacer
Implementar y operar las políticas, procesos,
procedimientos y controles seleccionados.
Verificar
Monitorizar y revisar el rendimiento del
SGSI. Realizar auditorías internas y
evaluaciones periódicas.
Actuar
Implementar acciones correctivas y
preventivas basadas en los resultados de las
auditorías y revisiones.
Basado en el ciclo PDCA (Planificar-Hacer-Verificar-Actuar) de la norma ISO/IEC 27001
preencoded. png
Identificación y Clasificación de Activos
Los activos de información son elementos que tienen valor para la organización y
requieren protección. Una identificación adecuada es fundamental para una gestión de
riesgos efectiva.
Categorías principales de activos:
Activos primarios
Procesos y actividades del negocio, información
Activos de soporte
Hardware, software, redes, personal, instalaciones, organización
La clasificación debe considerar el valor, criticidad, sensibilidad y requisitos legales de
Identificación y Clasificación de Activos
Los activos de información son elementos que tienen valor para la organización y
requieren protección. Una identificación adecuada es fundamental para una gestión de
riesgos efectiva.
Categorías principales de activos:
Activos primarios
Procesos y actividades del negocio, información
Activos de soporte
Hardware, software, redes, personal, instalaciones, organización
La clasificación debe considerar el valor, criticidad, sensibilidad y requisitos legales de
preencoded. png
Metodología para la Identificación de Activos
Definir criterios de identificación
Establecer parámetros claros sobre qué constituye un activo relevante para el alcance del SGSI.
Inventario inicial
Realizar un catálogo preliminar a través de entrevistas, análisis documental y herramientas automatizadas.
Clasificación
Categorizar los activos según su naturaleza, función y propietario dentro de la organización.
Valoración
Evaluar cada activo según criterios de confidencialidad, integridad y disponibilidad (CIA).
Documentación
Registrar metódicamente todos los activos en un inventario formal con sus metadatos relevantes.
Esta metodología sistemática permite identificar el universo completo de activos que deben ser protegidos mediante el SGSI.
Metodología para la Identificación de Activos
Definir criterios de identificación
Establecer parámetros claros sobre qué constituye un activo relevante para el alcance del SGSI.
Inventario inicial
Realizar un catálogo preliminar a través de entrevistas, análisis documental y herramientas automatizadas.
Clasificación
Categorizar los activos según su naturaleza, función y propietario dentro de la organización.
Valoración
Evaluar cada activo según criterios de confidencialidad, integridad y disponibilidad (CIA).
Documentación
Registrar metódicamente todos los activos en un inventario formal con sus metadatos relevantes.
Esta metodología sistemática permite identificar el universo completo de activos que deben ser protegidos mediante el SGSI.
preencoded. png
Análisis y Evaluación de Riesgos
El análisis de riesgos es el proceso sistemático de identificar amenazas, vulnerabilidades y su
impacto potencial en los activos críticos.
Identificación de amenazas
Eventos potenciales que podrían causar daño: ataques deliberados, errores humanos, fallos
técnicos, desastres naturales.
Análisis de vulnerabilidades
Debilidades que podrían ser explotadas: configuraciones incorrectas, software desactualizado,
falta de controles.
Estimación del impacto
Consecuencias potenciales en términos operativos, financieros, legales y reputacionales.
Valoración del riesgo
Combinación de probabilidad e impacto para determinar el nivel de riesgo inherente.
Análisis y Evaluación de Riesgos
El análisis de riesgos es el proceso sistemático de identificar amenazas, vulnerabilidades y su
impacto potencial en los activos críticos.
Identificación de amenazas
Eventos potenciales que podrían causar daño: ataques deliberados, errores humanos, fallos
técnicos, desastres naturales.
Análisis de vulnerabilidades
Debilidades que podrían ser explotadas: configuraciones incorrectas, software desactualizado,
falta de controles.
Estimación del impacto
Consecuencias potenciales en términos operativos, financieros, legales y reputacionales.
Valoración del riesgo
Combinación de probabilidad e impacto para determinar el nivel de riesgo inherente.
preencoded. png
Metodologías de Análisis de
Riesgos
Metodologías cualitativas
•MAGERIT (Metodología de Análisis
y Gestión de Riesgos de los
Sistemas de Información)
•OCTAVE (Operationally Critical
Threat, Asset, and Vulnerability
Evaluation)
•MEHARI (Method for Harmonized
Analysis of Risk)
Metodologías
cuantitativas
•FAIR (Factor Analysis of
Information Risk)
•Análisis de Valor Esperado (EV)
•Análisis Coste-Beneficio (CBA)
La selección de la metodología debe adaptarse al contexto organizacional,
recursos disponibles y madurez del programa de seguridad.
Metodologías de Análisis de
Riesgos
Metodologías cualitativas
•MAGERIT (Metodología de Análisis
y Gestión de Riesgos de los
Sistemas de Información)
•OCTAVE (Operationally Critical
Threat, Asset, and Vulnerability
Evaluation)
•MEHARI (Method for Harmonized
Analysis of Risk)
Metodologías
cuantitativas
•FAIR (Factor Analysis of
Information Risk)
•Análisis de Valor Esperado (EV)
•Análisis Coste-Beneficio (CBA)
La selección de la metodología debe adaptarse al contexto organizacional,
recursos disponibles y madurez del programa de seguridad.
preencoded. png
Definición de Políticas de Seguridad
Las políticas de seguridad establecen el marco normativo interno para la protección de
Losactivosde información.
Características de políticas efectivas:
•Alineadas con objetivos estratégicos
•Claras y comprensibles
•Aplicables y verificables
•Actualizadas periódicamente
•Respaldadas por la alta dirección
Política general
Establece principios fundamentales y responsabilidades globales.
Políticas específicas
Control de acceso, clasificación de información, gestión de incidentes, etc.
Procedimientos
Instrucciones detalladas para implementar las políticas.
Definición de Políticas de Seguridad
Las políticas de seguridad establecen el marco normativo interno para la protección de
Losactivosde información.
Características de políticas efectivas:
•Alineadas con objetivos estratégicos
•Claras y comprensibles
•Aplicables y verificables
•Actualizadas periódicamente
•Respaldadas por la alta dirección
Política general
Establece principios fundamentales y responsabilidades globales.
Políticas específicas
Control de acceso, clasificación de información, gestión de incidentes, etc.
Procedimientos
Instrucciones detalladas para implementar las políticas.
preencoded. png
Gestión de Proyectos de Seguridad según PMI
El Project Management Institute (PMI) ofrece un marco de referencia robusto para gestionar proyectos de seguridad informática.
Inicio
• Acta de constitución
• Identificación de interesados
• Análisis de viabilidad
Planificación
• Alcance y EDT
• Cronograma y presupuesto
• Plan de riesgos del proyecto
• Plan de comunicaciones
Ejecución
• Adquisición del equipo
• Implementación de controles
• Gestión de proveedores
• Aseguramiento de calidad
Monitorización
• Control de cambios
• Seguimiento del progreso
• Validación de alcance
Cierre
• Entrega formal
• Lecciones aprendidas
• Transición operativa
Los proyectos de seguridad requieren adaptaciones específicas del marco PMI para abordar los aspectos únicos de la ciberseguridad.
Gestión de Proyectos de Seguridad según PMI
El Project Management Institute (PMI) ofrece un marco de referencia robusto para gestionar proyectos de seguridad informática.
Inicio
• Acta de constitución
• Identificación de interesados
• Análisis de viabilidad
Planificación
• Alcance y EDT
• Cronograma y presupuesto
• Plan de riesgos del proyecto
• Plan de comunicaciones
Ejecución
• Adquisición del equipo
• Implementación de controles
• Gestión de proveedores
• Aseguramiento de calidad
Monitorización
• Control de cambios
• Seguimiento del progreso
• Validación de alcance
Cierre
• Entrega formal
• Lecciones aprendidas
• Transición operativa
Los proyectos de seguridad requieren adaptaciones específicas del marco PMI para abordar los aspectos únicos de la ciberseguridad.
preencoded. png
Consideraciones Clave
para el Éxito
En la gestión de riesgos:
•Involucrar a todas las áreas
relevantes de la organización
•Equilibrar seguridad con
usabilidad y eficiencia operativa
•Establecer métricas claras para
evaluar la efectividad
•Actualizar periódicamente el
análisis de riesgos
En la gestión de
proyectos:
•Alinear objetivos técnicos con
necesidades de negocio
•Comunicar claramente
beneficios y expectativas
•Gestionar activamente la
resistencia al cambio
•Documentar exhaustivamente
para facilitar el mantenimiento
La seguridad efectiva requiere un equilibrio entre gestión técnica rigurosa y
sensibilidad hacia los factores humanos y organizativos.
Consideraciones Clave
para el Éxito
En la gestión de riesgos:
•Involucrar a todas las áreas
relevantes de la organización
•Equilibrar seguridad con
usabilidad y eficiencia operativa
•Establecer métricas claras para
evaluar la efectividad
•Actualizar periódicamente el
análisis de riesgos
En la gestión de
proyectos:
•Alinear objetivos técnicos con
necesidades de negocio
•Comunicar claramente
beneficios y expectativas
•Gestionar activamente la
resistencia al cambio
•Documentar exhaustivamente
para facilitar el mantenimiento
La seguridad efectiva requiere un equilibrio entre gestión técnica rigurosa y
sensibilidad hacia los factores humanos y organizativos.
¿Conclusiones?
Introducción al Ethical Hacking
¡Gracias por su atención!
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 30
- Slides 16
- Age 99 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
39 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
42 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
38 views
14
Fertility awareness methods for women in the society
Isaiah47
36 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
34 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
37 views