Skip to main content Skip to main menu Skip to footer

Componentes de un programa de ciberseguridad

Componentes de un programa de ciberseguridad

Disminuir el tamaño del texto Aumentar el tamaño del texto

Page Article

Evaluación de los riesgos informáticos 

Una herramienta de evaluación de la ciberseguridad (CAT) es una prueba de diagnóstico que ayuda a las instituciones a identificar su nivel de riesgo y determinar la madurez de sus programas de ciberseguridad. Esta evaluación mide los niveles de riesgo en varias categorías, incluidos los canales de entrega, los tipos de conexión, las amenazas externas y las características de la organización. En última instancia, los resultados permiten a la dirección tomar decisiones de gestión de la seguridad basadas en el riesgo a través de evaluaciones periódicas de la ciberseguridad utilizando criterios estandarizados para la medición del riesgo.

Su evaluación de ciberseguridad debe medir tanto el riesgo de seguridad presente en su institución como su preparación para mitigar ese riesgo.
  • Tecnologías y tipos de conexión - Algunos tipos de tecnologías y las redes a las que se conectan tienen un mayor nivel de riesgo inherente. En esta categoría, debe examinar el número de conexiones de terceros e ISP, el número de conexiones no seguras, si el alojamiento se subcontrata o se gestiona internamente, y varios otros factores.
  • Delivery Channels - Some delivery channels for company products and services pose a higher risk than others. More delivery channels and more diverse delivery channels mean a higher inherent risk. In this category, the risk is measured across websites, web, and mobile applications.
  • Productos en línea, móviles y servicios tecnológicos: la seguridad de una organización varía en función de los diferentes productos y servicios tecnológicos que ofrece. Los servicios de pago y los servicios de transacción, como las tarjetas de crédito, las transferencias bancarias, los pagos de persona a persona y la banca de corresponsalía, conllevan diferentes retos de seguridad que se evalúan en esta categoría.
  • Características de la organización - En esta categoría se examinan las características de la propia organización, incluyendo el número de empleados directos, los cambios en el personal de seguridad, el número de usuarios con privilegios de seguridad elevados, la ubicación de los centros de datos, etc.
  • Amenazas externas - El número de ataques (y el tipo de ataques) sufridos por una organización es un factor de evaluación de riesgos en esta sección.
  • Cyber Risk Management and Oversight - Does the board of directors oversee management's commitment to an organization-wide cybersecurity program? This assessment examines oversight in terms of strategy, policies, the robustness of the risk management program, staffing and budgeting of the program, culture, and training.
  • Inteligencia sobre amenazas y colaboración - ¿Qué procesos existen para descubrir, analizar y compartir los hallazgos sobre la evolución de las amenazas a la ciberseguridad? Esta es la forma en que la dirección califica a la institución en términos de inteligencia de amenazas, monitoreo/análisis y relaciones entre pares y partes interesadas internas que facilitan o dificultan el intercambio de información sobre amenazas cibernéticas.
  • Resiliencia de la gestión de incidentes c ibernéticos: es la forma en que la organización evalúa su respuesta a los eventos de amenazas cibernéticas, incluyendo la planificación y las pruebas para recuperar las operaciones normales después de un evento.
  • Controles de ciberseguridad - ¿Cuál es la madurez actual de los controles establecidos para proteger la infraestructura, los activos y la información mediante una supervisión y protección constantes y automatizadas? En este ámbito, los controles se evalúan desde una perspectiva detectivesca, preventiva y correctiva.
  • Gestión de la Dependencia Externa - Esto examina el programa existente de su organización para supervisar y gestionar las relaciones con terceros y las conexiones externas que tienen acceso a los activos de información y tecnología de la empresa.

Auditorías informáticas 

¿Ha probado los controles tecnológicos que tiene para proteger los datos y sistemas de sus miembros? A menudo debería realizar una evaluación exhaustiva de sus controles de seguridad físicos, técnicos y de red en relación con la normativa del sector. Los resultados de su evaluación deberían incluir un informe fácil de leer con medidas prácticas listo para la aprobación de su junta directiva.

Controles técnicos de seguridad
  • Infraestructura informática
  • Software
  • Nube
  • Ciberseguridad
Controles administrativos de seguridad
  • Personal
  • Gestión de cuentas
  • Política de seguridad e informática
  • Seguridad física
Seguridad de la red
  • Cortafuegos
  • Dispositivos de red
  • Gestión de parches
  • Protección contra el malware

Pruebas de penetración 

Una prueba de penetración es un ataque simulado contra el exterior de su red para comprobar si hay vulnerabilidades explotables. Uno de los métodos más comunes que utilizan los ciberdelincuentes para acceder a una organización es encontrar un puerto abierto. Utiliza herramientas reconocidas por la industria para poner a prueba las defensas de su red y proporcionar consejos prácticos sobre cómo asegurarlas de una manera muy fácil de entender.

Buscar puertos abiertos
  • Exploración de ataques IP 
  • Análisis de seguridad de aplicaciones web

Evaluación de la vulnerabilidad 

¿Conoce todos los sistemas conectados a su red? ¿Y qué hay de las aplicaciones que han llegado al final de su vida útil y que ya no reciben soporte ni están actualizadas? Por último, ¿sigue utilizando contraseñas por defecto en alguno de sus sistemas? Una evaluación de la vulnerabilidad escaneará todos los dispositivos conectados a la red y determinará dónde existen posibles vulnerabilidades dentro de su red.

Ingeniería social 

El phishing es el método número uno que utilizan los delincuentes para obtener acceso no autorizado a las organizaciones. Los servicios de prueba de phishing enviarán correos electrónicos de simulación muy similares a los que utilizan los atacantes. Si uno de los miembros de su equipo hace clic en el enlace, recibirá formación en el momento. Los correos electrónicos pueden parecer temas comunes como tarjetas de regalo, notificaciones de entrega de paquetes, verificación de aprobación de préstamos, etc. Si un empleado del Cliente hace clic en una prueba, recibirá una formación inmediata en el momento que resalta las áreas a las que debe estar atento en el futuro. Al finalizar, el cliente recibirá un informe con la puntuación global del cliente y un desglose de las pruebas fallidas.

Formación en ciberseguridad 

The goal of this training is to equip employees with the knowledge to combat common cybersecurity threats. Training should be done weekly and doesn't have to be all at once.  Everyone in an organization needs to train with methods that pertain to their level of expertise and risk.  




Related Topics

Relacionado con esto:

Page Footer has no content