Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

Crea una cuenta o inicia sesi贸n

隆Contin煤a aprendiendo sin ning煤n costo! 脷nete y comienza a potenciar tu carrera

Principios generales de la seguridad de la informaci贸n

3/39
Recursos

Aportes 63

Preguntas 6

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Seguridad de la informaci贸n
Como activo m谩s valioso la informaci贸n debe ser protegida y la seguridad de la informaci贸n es la aplicaci贸n y gesti贸n de medidas de seguridad para protegerla de una amplia gama de amenazas

Triada de la seguridad
La ISO-27001 es muy enf谩tica en mencionar 3 principios que se deben cumplir:

  1. Confidencialidad: los datos deben ser accedidos s贸lo por personas autorizadas.
  2. Disponibilidad: los datos deben estar disponibles cuando se requieran.
  3. Integridad: los datos deben ser modificados s贸lo desde procesos leg铆timamente
    autorizados por usuarios autorizados.

Esta triada de la seguridad asegura que la informaci贸n est谩 siendo protegida si estos tres principios se cumplen.

Es un error basar la seguridad de los activos de informaci贸n solo en estos tres principios. Es real que son la base y tambi茅n los mas importantes, pero cuando se trata de gestionar 鈥淪eguridad鈥 hay que hablar de conceptos como el no repudio, autenticacion, autorizaci贸n, trazabilidad, etc.

![](

Triada de la seguridad: Disponibilidad, Confidencialidad, Integridad

La informaci贸n


<h3>驴Como adquirimos informaci贸n?</h3>

De los datos relevantes dentro de un proceso de negocio transformados que naturalmente deben estar relacionado

<h3>驴Seguridad de la informaci贸n?</h3>

Es la aplicaci贸n y gesti贸n de medidas de seguridad para proteger de una amplia gama de amenazas el que es considerado en la actualidad el activo mas valioso en una compa帽铆a

<h3>Triada de la seguridad</h3>

Es de suma importancia mantener estos principios ya que si alguno se rompe mi sistema de seguridad a fallado.

  • Disponibilidad
    • Los datos siempre deben ser accesibles en el momento que se requiera.
  • Confidencialidad
    • Datos accedidos por personas autorizadas.
  • Integridad
    • Los datos deben ser cambiados dentro del proceso leg铆timamente autorizado por usuario debidamente registrados.

Interesantes conceptos y yo siempre puteaba al de seguridad por eso jejeje

Saludos a todos, ya es la segunda clase y no hay material en los enlaces seria importante anexarlos.

Seguridad de la informaci贸n es tomar todas las medidas de seguridad para cuidar de los datos que es el activo m谩s importante de una empresa.

para mantener un buen esquema de seguridad se debe cumplir la siguiente triada:

Confidencialidad: los datos son accedidos solo por usuarios autorizados
Disponibilidad Los datos deben estar disponibles cuando el negocio lo requiera
Integridad: los datos deben ser modificados solo por procesos leg铆timos y autorizados

Disponiblidad: Los datos deben estar disponibles en el momento que se necesiten consultar.

Integridad: Los datos deben ser modificados por los usuarios autorizados.

La triada del CID . 馃槄

Seguridad de la informaci贸n: Es la aplicaci贸n y gesti贸n de medidas de seguridad paar proteger de una amplia gama de amenazas, el que es considerado en la actualidad el activo m谩s valioso en una compa帽铆a

Como hemos aprendido en los cursos de la ruta de ciberseguridad, primordial cumplir los principios: Confidencialidad, disponibilidad e integridad. Adem谩s en cuanto al principio del m铆nimo privilegio, lo que no est谩 permitido debe estar prohibido.

Excelente. Se esta poniendo muy interesante.

Principios generales de la seguridad de informaci贸n
Datos: s铆mbolos que representan hechos o situaciones.
Informaci贸n: datos procesados que naturalmente se relacionan.

Seguridad de la informaci贸n:
Aplicaci贸n y gesti贸n de medidas de seguridad ante cualquier tipo de ataque.

Triada dela seguridad:
Confidencialidad (solo autorizados a informaci贸n), integridad (cambios a trav茅s de procesos leg铆timos autorizados) y disponibilidad (informaci贸n accesible al requerirse).

Confidencialidad: El acceso debe ser 煤nicamente para quien los requiere y trabaje con ellos.
Disponibilidad: Los datos deben estar cuando se requieran.
Integridad Los datos deben cambiados dentro de un proceso autorizado y por personas autorizadas.

Hola Alex!
si bien es cierto, los principios de la SI basan en este triangulo (CID), que otros aspectos paralelos o alternos se deben tener en cuenta?
gracias por la respuesta!

muy bien, me recuerda al curso de seguridad inform谩tica.

Principios generales.

El origen son los datos.

Los datos son s铆mbolos que representan hechos o situaciones. Los datos no procesados no se le puede denominar informaci贸n ya que necesitan ser procesados para poder obtener la informaci贸n.

Triada de la seguridad.

Seguridad de la informaci贸n.

  • Confidencialidad: Solo deben tener acceso las personas autorizadas.
  • Disponibilidad: La informaci贸n debe estar disponible en todo momento.
  • Integridad: Los datos solo pueden ser cambiados los cuales deben ser mediante procesos leg铆timamente autorizados por usuarios registrado en un proceso de informaci贸n.

Si cualquier punto fallase, rompe la seguridad de la informaci贸n.

Confidencialidad

Integridad

Disponibilidad

Principios:

Seguridad de la informaci贸n: Son los lineamientos que se siguen para resguardar el activo de la informaci贸n, de esta forma se protege ante una amplia gama de amenazas. Se debe velar porque esa informaci贸n no sea alterada y est茅 disponible, dando cumplimiento a la 鈥渢riada de la seguridad鈥.

Principios de la ISO27001: O la Triada de la seguridad, trata de la Confidencialidad, Disponibilidad e Integridad.

Confidencialidad: Los datos deben ser accedidos solo por los interesados.

Disponibilidad: Los datos deben estar disponibles para cuando sean requeridos.

Integridad: Los datos son transformados a informaci贸n, pero los datos deben ser cambiados dentro del proceso normal y leg铆timo, es decir que no cualquiera lo cambie.

Si uno de estos principios falla, indica que el proceso de ISO 27001 ha fallado. Ning煤n principio es m谩s o menos importante que otro

Muy importante el 茅nfasis que hace El profe Alex sobre que la Triada debe ser completa, pues muchas veces por costos las empresas solo trabajan uno solo de los lados de la triada y descuidan los otros y casi siempre se enfocan en Disponibilidad y cero en Confidencialidad e Integridad y de ah铆 los que se desprenden como No repudio etc

Los datos, luego de ser procesados, se convierte en informaci贸n importante que tenemos dentro de nuestro negocio; la SI es la aplicaci贸n de medidas para proteger esta informaci贸n, los lineamientos que se definen como organizaci贸n servir谩n para resguardar el activo m谩s valioso que viene a ser la informaci贸n sobre la que se est谩n tomando las decisiones mas importantes.

Aqu铆 falt贸 mencionar el 鈥渘o repudio鈥

Gracias por la peque帽a introducci贸n a la historia de ISO 27001

Paso por aqui a dejar el link https://www.incibe.es/ , es el instituto nacional de ciberseguridad de Espa帽a y comparten much铆simos recursos para iniciar con la implementaci贸n de seguridad de la informaci贸n en una compa帽铆a.

desde kit de cocientizaci貌n hasta ejemplos de formatos etc.

PRINCIPIOS BASICOS SOBRE LA SEGURIDAD DE LA INFORMACI脫N.

  • Los datos sin procesar no pueden ser categorizados como informaci贸n.
  • Los datos son los centrales en el proceso, el resultado de la organizaci贸n o transformaci贸n de los datos es la informaci贸n.
  • Que es la seguridad de la informaci贸n?鈥 no es mas que la aplicaci贸n de medidas para salvaguardar la informaci贸n. ( que es el activo mas valioso porque con ella se toman decisiones de negocio ) .
  • y esto nos lleva a un concepto que es la **Triada de la Seguridad **
  • Confidencialidad : Los datos deben ser de acceso por las personas que lo requieren dentro de su proceso.
  • Integridad: Los datos deben ser cambiados dentro del procesos leg铆timamente autorizados por usuarios registrados.
  • Disponibilidad: Los datos deben estar disponibles cuando el negocio lo requiera.

La seguridad de la informaci贸n es la aplicaci贸n y gesti贸n de medidas de seguridad, todo lo que tenemos que tener en cuenta para proteger la informaci贸n.

Adem谩s de esto son todos los lineamientos que yo defino como organizaci贸n para resguardar el activo m谩s valioso que en la actualidad es la informaci贸n sobre la cual se est谩n tomando decisiones de negocio importante, se centran todas las estrategias de una compa帽铆a y sobre la cual debemos nosotros como responsables de la seguridad de la informaci贸n velar porque esa informaci贸n no sufra alteraciones o cambios y el negocio cuando necesite esa informaci贸n para tomar decisiones estrat茅gicas la tenga disponible.

Para esto necesitamos centrarnos en un concepto general en Seguridad de la informaci贸n que se llama TRIADA DE LA SEGURIDAD, LA NORMA ISO 27001 es muy enf谩tica al mencionar estos 3 componentes: DISPONIBILIDAD, CONFIDENCIALIDAD, INTEGRIDAD (Se debe garantizar que se est茅 cumpliendo estos principios para tener segura la informaci贸n).

CONFIDENCIALIDAD: Los datos deben ser accedidos por personas 煤nicamente autorizadas, personas que realmente requieren el acceso a esa informaci贸n, ejm: Proceso de n贸mina, ya que simplemente los que est茅n involucrados en el proceso deben conocer los salarios de los empleados de la compa帽铆a.

DISPONIBILIDAD: Los datos deben estar disponibles siempre que el negocio los necesite.

INTEGRIDAD: Los datos naturalmente van a ser modificados durante el proceso de transformaci贸n para llegar a ser informaci贸n, pero este principio no indica que los datos deben ser cambiados dentro del proceso leg铆timamente autorizados por usuarios debidamente registrados en un sistema de informaci贸n, es decir que un proceso de negocio modifica la informaci贸n pero porque realmente era necesario dentro del flujo de un proceso.

Si alguno de estos principios falla o no se est谩 cumpliendo estoy fallando en mi triada de la seguridad y por lo tanto mi sistema de seguridad de la informaci贸n est谩 fallando (SIEMPRE GARANTIZAR LOS 3 PRINCIPIOS, CENTRAR LAS ESTRATEGIAS Y GESTI脫N DE LA COMPA脩脥A EN BASE A ESTOS PRINCIPIOS).

驴Q煤e pasa si fallan?

Triada de seguridad

驴Q煤e es la seguridad de la informaci贸n?

datos vs. informaci贸n

Chicos, es importante tener en cuenta estos conceptos.

Seguridad de la informaci贸n tiene por objetivo preservar las caracter铆sticas de c_onfidencialidad, integridad y disponibilidad de la informaci贸_n. Este concepto tiene asociados temas en un contexto m谩s amplio tales como: la definici贸n de pol铆ticas y normas, el control insuficiente de cambios, los riesgos operacionales, el plan de continuidad de negocio, clasificaci贸n de la informaci贸n y matrices de riesgo.

Seguridad inform谩tica es fundamentalmente t茅cnico, hace un 茅nfasis en la protecci贸n de los sistemas de informaci贸n, ordenadores, las redes e infraestructura tecnol贸gica. Adem谩s asocia temas en un contexto menor tales como: ataques inform谩ticos, virus, Spam, an谩lisis de vulnerabilidad, Firewall, contrase帽as. etc.

espero les sea de ayuda.

La triada de la seguridad es lo principal en la seguridad de la informaci贸n, as铆 que lo hemos visto, lo vemos y lo seguiremos viendo. 馃憤

Resumen:
Principios Generales
La informacion como el activo mas valioso. Se reciben datos los cuales son procesados o transformados como Informaci贸n.

Aplicacion de las medidas de seguridad sobre la informaci贸n de una compa帽ia.

Triada Seguridad de la Informaci贸n:
Confidencialidad
Integridad
Disponibilidad

La Informacion

La Informacion Es El Conjunto De Datos Relacionados Que An Sido Procesados , Para La Toma De Decisiones , Todo Sistema De Informacio Recibe Una Entrada Donde LLegan Los Datos Sufre Un Procesamiento y El Resultado Es La Informacion

Seguridad De La Informacion

Siendo La Informacion El Activo Mas Importante En Ciertas Companys , Debe Ser Protegida , La Seguridad De La Informacion Es La Aplicacion Y Gestion De Medidas De Seguridad Para Protegerla De Una Amplia Gama De Amenazas

Triada De La Seguridad

La ISO27001 Es Muy Enfatica En Mencionar 3 Principios Que Se Deben Cumplir

  1. Confidencialidad - La Informacion Solo Puede Ser Accedida Por Usuarios Debidamente Autorizados
  2. Integridad - La Informacion Contenidad Debe Ser Veridica , y Solo Puede Ser Cambiada Desde Procesos Legitimamente Autorizados Por Personas Autorizadas
  3. Disponibilidad - La Informacion Debe Ser Accesible En El Momento Que Se Requiera

Si Estos 3 Principios Se Cumplen Asegura Que La Informacion Esta Siendo Protegida

Triada de la Seguridad

  • Confidencialidad.
  • Integridad.
  • Disponibilidad.

SI: Seguridad de la Informaci贸n

Es la aplicaci贸n y gesti贸n de medidas de seguridad para proteger de una amplia gama de amenazas el que es considerado en la actualidad el activo m谩s valioso en una compa帽铆a.

Principios generales de la seguridad de la informaci贸n

Nuestro origen son los datos, ellos se convierten en informaci贸n. Con la informaci贸n podemos tomar decisiones.

La seguridad en la informaci贸n es la aplicaci贸n y gesti贸n de medidas de seguridad para proteger de una amplia gama de amenazas el que es considerado en la actualidad el activo m谩s valioso en una compa帽铆a.

Triada de la seguridad: Confidencialidad, Integridad y Disponibilidad. Los 3 deben cumplirse para que la informaci贸n sea segura.

Para ser sincero siempre que escuchaba esto de las normas ISO me daban tanta flojera y no les tomaba importancia pero con estas dos clases logro entender su importancia

Confidencialidad: los datos deben ser accedidos por personas 煤nicamente autorizadas, personas que realmente requieren el acceso a la informaci贸n.

**Integridad:**Los datos deben ser cambiados dentro del proceso leg铆timamente autorizados por usuarios debidamente en un sistema de informaci贸n.

**Disponibilidad:**Los datos deben estar ah铆 cuando el negocio los necesite.

Estos son los 3 principios que se deben cumplir en La ISO-27001: Confidencialidad, Disponibilidad e Integridad.

que buena clase profe

Los datos sin procesar no son informaci贸n.
Todo sistema de informaci贸n recibe una entrada con datos, los cuales se procesan dando como resultado la informaci贸n.

Los tres pilares tambi茅n se deben garantizar en la informaci贸n f铆sica, muchas veces se descuida este aspecto y solo se toma los medios digitales

Es muy similar al curso anterior de la carrera de Seguridad, pero con un nuevo enfoque.

Tener siempre claro los conceptos de la triada de la seguridad, son mandamientos

驴Seguridad de la Informaci贸n?
Es la aplicaci贸n y gesti贸n de medidas de seguridad para proteger de una amplia gama de amenazas el que es considerado en la actualidad el activo m谩s valioso en una compa帽铆a.
Seguridad de la informaci贸n son todos los lineamientos que yo sigo como organizaci贸n para resguardar el activo m谩s valioso que es la informaci贸n. Esta es sobre la cual se toman decisiones de negocios importantes y sobre las cuales se centran todas las estrategias de una compa帽铆a. Sobre la cual se centra la seguridad de la informaci贸n vela para que no sufra alteraciones ni ning煤n cambio y el negocio cuando necesite esas informaciones estrat茅gicas las tenga disponibles.

Para eso debemos centrarnos en un concepto que es la tr铆ada de la seguridad. La norma ISO 27001 es muy enf谩tica en estos componentes.

  • Confidencialidad: los datos deben ser accedidos s贸lo por personas autorizadas.

  • Disponibilidad: los datos deben estar disponibles cuando se requieran.

  • Integridad: los datos deben ser modificados s贸lo desde procesos leg铆timamente autorizados por usuarios debidamente registrados en un sistema de informaci贸n. Es decir, que en un proceso de negocios normal modifica la informaci贸n pero solamente porque era necesario dentro del el flujo de proceso.

Esta triada de la seguridad asegura que la informaci贸n est谩 siendo protegida si estos tres principios no se cumplen entonces mi sistema de gesti贸n de la seguridad ha fallado. Todos estos principios son igual de importantes.

Importante Separar los roles, generalmente hay caos en estos procesos.

Excelente explicacion de la triada de la seguridad muchas gracias

	          INTEGRIDAD

DISPONIBILIDAD CONFIDENCIALIDAD

super Interesante

Que buen aporte David, mil gracias!

Exelente clase profe

Es de suma importancia los 3 conceptos que nos habla ya que en la practica se podr铆a tener un impacto por mal uso de la informaci贸n si se llega a tener acceso a recursos no autorizados.

Muchas gracias por la informaci贸n y si creo que la seguridad de la informaci贸n sea un activo valioso, m谩s dentro de una organizaci贸n.

脡stos mismos principios fueron presentados en el curso de principios de seguridad inform谩tica. No los conoc铆a pero me parecieron en su momento muy relevantes y creo que ahora aplicados a la norma ISO son a煤n m谩s relevantes.