Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

El Sistema de Gestión de Seguridad de la Información

4/39
Recursos

Aportes 39

Preguntas 6

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

M2 - Sistema de gestión de seguridad


Es un conjunto de políticas procedimientos guías recursos y actividades asociadas que son gestionadas de manera colectiva por una compañía

Tareas de SGSI

  • Establecer
    • Definir políticas y normas
  • Implementar
    • Empezar a gestionar todo y comprar recursos tecnológicos
  • Operar
    • Mantener dentro del proceso y garantizando que se cumplan las directrices
  • Monitorizar
    • Verificar continuamente
  • Revisar
    • Mirar indicadores en caso de no cumplir ajustar políticas
  • Mantener
    • Esto es un proceso continuo que debe ajustarse en el día a día de la empresa
  • Mejorar
    • Actualizar frecuentemente

Factores críticos

  • Que la política,los objetivos y actividades de seguridad de la información estén alineados con los objetivos de la organización.
  • Apoyo visible de todos los niveles de organización, en especial de dirección.
  • Programa efectivo de concienciación, formación y educación sobre seguridad de la información.
  • Un proceso eficaz de gestión de incidentes SI.
  • Un enfoque efectivo de GCN (gestión de continuidad de negocio).
  • Un sistema de medición utilizado para evaluar el desempeño en gestión de la SI y para proporcionar la mejora continua.

Beneficios SGSI

  • Aumentar la confianza en la organización por las partes interesadas
  • Una gestión desde un punto de vista económico de las invenciones en SI
  • Ayuda para la alta dirección en la alineación de si enfoque hacia la gestión de la SI,con el contexto de la gestión y gobierno del riesgo corporativo.

Aqui les adjunto las fases de implementación de un SGSI obtenido desde https://www.normas-iso.com/iso-27001/

-------------------------------Sistema de gestión de seguridad (SGSI)----------------------------------------
Es un conjunto de políticas, procedimientos, guías, recursos y actividades asociadas, que son gestionadas
de manera colectiva por una compañía.
El SGSI debe:

  • Establecer normas
  • implementar y gestionar es decir pasar de la teoría a la práctica
  • operar, mantener y gestionar todo dentro del proceso, y que se cumplan con las directrices definidas
  • monitorizar, es estar en gestión de verificación de que todo fluya.
  • revisar, es rectificar indicadores.
  • mantener, nos dice que es es un proceso continuo.
  • mejorar, actualizarse y estar al tanto de siempre ser más optimo.

LO MAS IMPORTANTE A RESALTAR ES QUE LA NORMA ISO 27001 NO ES PRECEPTIVA, ESTO QUIERE DECIR QUE NO DEBES SEGUIRLA AL PIE DE LA LETRA, TÚ DE ACUERDO AL TAMAÑO DE TU ORGANIZACIÓN ANALIZAS QUE PARTES APLICAR

La Confianza en la organización es Extremadamente Importante. Con la Confianza se cierran tratos, negocios, se hacen ventas. Una certificación de SGSI es muy usada para entrar en procesos de licitación, para participar en concursos para ganar proyectos. Es muy común ahora que una empresa que no tenga certificacion ISO27K no cumpla con requisitos mínimos para poder ofertar en proyectos públicos.

Se logra implementar moldeos de seguridad de la información como ISo 27001 + COBIT 5+ Itil, Con Compromiso de la alta dirección y una cultura organización dispuesta al cambio, Se encuentra obstáculos cuando los lideres de áreas estrategias se oponen a aplicar los controles de las normas. En esta implementación es cuando se descubre que los riesgos de la organización no siempre son externos, los mas altos están dentro de las organizaciones cuando tienen demasiado poder o autoridad…

Implementar un modelo es fácil, lo difícil es mantenerlo y lograr una cultura de seguridad ante los nuevos cambios de cultura dentro de la misma organización.

¿Cuánto esfuerzo cuesta implementar ISO 27001?

Garantizar que la norma se alinea a los objetivos del negocio y que no entorpezca los procesos del negocio

Factores críticos de éxito:
-La política, los objetivos y actividades de seguridad de la información estén alineadas con los objetivos
de la organización.
-El apoyo visible y el compromiso de todos los niveles de la organización, en especial de alta dirección.
-Un programa Efectivo de concientizar, formar y educar sobre seguridad de la información.
-Un proceso eficaz de gestión de incidentes de seguridad (No interrumpir la triada de la seguridad)
-Un enfoque efectivo de gestión continua de negocio (GCN).
-Se debe proporcionar una gestión continua.
Beneficios:
-Aumentar la confianza en la organización por las partes interesadas
-Una eficaz gestión desde un punto de vista económico de las inversiones en seguridad.
-Ayudar a la alta dirección a tomar decisiones.
-La adopción de buenas prácticas de la SI (seguridad de la información) aceptadas a nivel mundial
de una manera no perceptiva.

Sistema de gestión de Seguridad
Conjunto de políticas, procedimientos, guías, recursos y actividades asociadas, que son gestionados de manera colectiva por una compañía.
El SGSI debe:
• Establecer
• Implementar
• Operar
• Monitorizar
• Revisar
• Mantener
• Mejorar
Factores críticos de éxito
Que la política, los objetivos y actividades de seguridad de la información estén alineadas con los objetivos de la organización.
El apoyo visible y el compromiso de todos los niveles de la organización, en especial de Alta Dirección.
Un programa efectivo de concienciación, formación y educación sobre la seguridad de la información.
Un proceso eficaz de gestión de incidentes de SI.
Un enfoque efectivo de GCN.
Un sistema de medición utilizado para evaluar el desempeño en la gestión de la SI y para proporcionar la mejora continua.
Beneficios de SGSI.
Aumentar la confianza en la organización por las partes interesadas.
Una eficaz gestión desde un punto de vista económico de las inversiones en SI.
Una ayuda para la Alta Dirección en la alineación de su enfoque hacia la gestión y gobierno del riesgo corporativo.
Las mejores prácticas para su empresa.

(

Hola muchachos! a lo largo de este curso, ire subiendo los apuntes de este maravilloso curso mediante este link de trello!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

.

Factores críticos de éxito

  • Que la política, los objetivos y actividades de SI estén alineadas con los objetivos de la organización.
  • El apoyo visible y el compromiso de todos los niveles de la organización, en especial de Alta Dirección.
  • Un programa efectivo de concienciación, formación y educación sobre SI.
  • Un proceso eficaz de gestión de incidentes de SI. Un enfoque efectivo de GCN.
  • Un sistema de medición utilizado para evaluar el desempeño en la gestión de la SI y para proporcionar la mejora continua.

.

Beneficios de un SGSI

  • Aumentar la confianza en la organización por las partes interesadas.
  • Una eficaz gestión desde un punto de vista económico de las inversiones en SI.
  • Una ayuda para la Alta Dirección en la alineación de su enfoque hacia la gestión de la SI, con el contexto de la gestión y gobierno del riesgo corporativo.
  • La adopción de buenas prácticas de SI aceptadas a nivel mundial, de una manera no preceptiva.
    • NIST.
    • ITIL.
    • OWASP.
    • COBIT.
    • ISO 27001.
    • CIS.

Hola, perdonen la indiorancia jejeje la persona que se dedica a ser Auditor interno es más rango que una persona de Ciberseguridad?

El punto principal para implementar este sistema es convencer a las directivas que no conocen de TI

Es muy cierto, debe existir el apoyo y la unión del área de TI como de gerencia. Muchas veces la gerencia no le da importancia a este tipo de cosas ya que las ven como un gasto más que como una inversión para la empresa.
Es muy importante conocer y trabajar con standares internacionales. Buen aporte prof, gracias...

Resumen:
SGSI
Es un conjunto de políticas procedimientos guías recursos y actividades asociadas que son gestionadas de manera colectiva por una compañía.

Establecer
Implementar
Operar
Monitorizar
Revisar
Mantener
Mejorar

.

¿Qué es un SGSI?

Conjunto de políticas, procedimientos, guías, recursos y actividades asociadas, que son gestionados de manera colectiva por una compañía.
.

El SGSI debe

➔ Establecer.
➔ Implementar.
➔ Operar.
➔ Monitorizar.
➔ Revisar.
➔ Mantener.
➔ Mejorar.

💎


<h3>Sistemas de Gestión de la información</h3>

El fin de la norma ISO-27001 es establecer un sistema de gestión de la seguridad (SGSI).

Un SGSI Es un conjunto de políticas procedimientos guías recursos y actividades asociadas que son gestionadas de manera colectiva por una compañía.

Tareas de un SGSI:

  • Establecer: Definir políticas y normas de seguridad de la información.
  • Implementar: Empezar a implementar las normas y políticas previamente definidas, además de comprar los recursos tecnológicos necesarios.
  • Operar: Gestionar y mantener toda la implementación dentro del proceso y garantizar que se cumplan las directrices.
  • Monitorizar: Verificar continuamente.
  • Revisar: Mirar indicadores en caso de no cumplir ajustar políticas.
  • Mantener: Esto es un proceso continuo que debe ajustarse en el día a día de la empresa.
  • Mejorar: Actualizar frecuentemente.

Un SGSI no es un proyecto por lo que no debe verse como si tuviera un principio y un final. Un SGSI es un proceso continuo que se mejora a sí mismo.
'
Factores críticos de éxito:

  1. Definir una política de acuerdo o alineada a los objetivos de la organización. (Ningún política debe entorpecer los procesos de negocios de la organización.)
  2. Apoyo de la alta dirección. Toda la organización debe notar que la alta dirección apoya la implementación del SGSI.
  3. Capacitación continua del personal de la organización en seguridad de la información, para generar conciencia.
  4. Hacer un proceso eficaz en la gestión de incidentes de seguridad de la información y en el proceso de Gestión de continuidad de negocios (GCN).
    • Un incidente de seguridad es cualquier cosa que pueda interrumpir la triada de la información.
  5. La mejora continua. Ajustar, mejorar y actualizar el SGSI a través del tiempo…

Beneficios de un SGSI:

  • Aumentar la confianza de los stakeholders de la organización.
  • Ayuda a la alta dirección a tomar decisiones de negocios con mucha más certeza.
  • Aplica las mejores prácticas de una norma recocida internacionalmente efectiva.
  • Es no preceptivo. Lo que permite adaptar los lineamientos de la norma de acuerdo al tamaño de la organización.

Alguien me pueda explicar mejor Operar vs Monitorizar, segun lo que dice los veo muy parecidos?

Buena introducción

Sistema de Gestión de Seguridad de la Informacion

  1. Establecer
    Definir políticas y normas
  2. Implementar
    Gestionar todo y comprar los recursos tecnológicos que se necesiten
  3. Operar
    Mantener todo dentro del proceso, gestionar que todas las
    tareas se cumplan dentro de la organización, se sigan las
    directrices y configuración de herramientas tecnológicas
  4. Monitorizar
    Verificar continuamente el SGSI sin descuidarlo
  5. Revisar
    Ver indicadores si cumplen con la meta establecida
  6. Mantener
    Proceso continuo con actualización a la vanguardia
  7. Mejorar
    Actualizar frecuentemente

Factores Criticos

  1. Políticas, objetivos y actividades de seguridad de la información alineadas con los objetivos de la organización.

  2. Apoyo de la alta dirección, compromiso visible de todos los niveles de la organización.

  3. Programa efectivo de concienciación, formación y educación sobre seguridad de la información.

  4. Proceso eficaz de gestión de incidentes de SI. Con enfoque efectivo de GCN (Gestión de Continuidad de Negocio).

  5. Sistema de mediación para evaluar el desempeño del SGSI y proporcionar mejora continua

Beneficios de un SGSI

  1. Aumentar la confianza de la organización.
  2. Gestion eficaz de inversiones económicas a SI.
  3. Ayuda a la alta dirección en la aliniación de su enfoque hacia la gestión de SI, con el contexto de la gestión y gobierno del riesgo corporativo.

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Conjunto de políticas, procedimientos, guías, recursos y actividades asociadas, que son gestionados de manera colectiva por una compañía.
Debe:
Establecer, Implementar, Operar, Monitorear, Revisar, Mantener y Mejorar.
La S.I es un proceso continuo. Mejora continua.
Factores críticos de éxito.
• Alineación con los objetivos de la organización. No entorpecer el proceso de negocio.
• El apoyo de la gerencia.
• Programas de capacitación y concienciación, formación, y educación.
• Gestión de incidentes.
• Continuidad de negocio. Resiliencia.
• Mejora continua.

Esta clase ha sido muy completa.

El SGSI contribuye a la operación continuada de los procesos con información de calidad para la toma de decisiones estratégicas.

Información que me resulta interesante:

  • Los lineamientos, políticas, guías deben complementarse una con otra en pro de la seguridad de la información. Deben ser como una cadena.

  • La política, objetivos y actividades de SI deben estar alineados con los objetivos de la organización. Ser consecuentes sin entorpecer otros procesos de la organización.

  • Apoyo y compromiso visible de toda la organización y en especial de la alta dirección, no solo en cuestión monetaria sino también en tiempo.

  • La norma no te pide que implementes todos los lineamientos, sino solo aquellos que necesites de acuerdo al tamaño de tu organización.

increíble

Un factor critico y relevante en el logro de la implementación de estas buena practicas es que la Alta Dirección se comprometa ante la organización en apoyar y ser facilitador del SGSI.

Factores críticos: definir o alinear una política de acuerdo a los requerimientos de la compañía

¿Cual es la diferencia entre los conceptos de SGSI y Ciberseguridad?

Sistema de gestión de seguridad: (SGSI)
Politicas, procedimientos, guias, recursos y actividades **asociados ** con el fin de establecer (definir), implementar (aplicarlo), operar (practica - mantener), monitorizar (cumplimientos), revisar (seguimiento), mantener (proceso continuo de revisión), mejorar (gracias a los pasos anteriores me actualizo identifico y cambio para mejora).

Factores críticos:

  • Deben ser consecuentes con los objetivos de la organización.
  • Apoyo de la alta dirección.
  • Concientización, formación y educación sobre los SGSI.
  • Identificar incidentes de seguridad, atención y resolución los mas pronto.
  • Mejora continua.

Beneficios del SGSI:

  • Confianza
  • Ayuda la alta dirección para eficiencia.
  • Soporte de aplicación de las mejores practicas.

alguien de ustedes sabe como obtener una certificado de COBIT o alguien ya lo tiene

El ciclo Deming (Plan-Do-Check-Act) también se considera en esta parte de SGSI?

Dentro del SGSI, también se consideran los riesgos?