Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

Crea una cuenta o inicia sesi贸n

隆Contin煤a aprendiendo sin ning煤n costo! 脷nete y comienza a potenciar tu carrera

T茅rminos y definiciones

5/39
Recursos

Aportes 33

Preguntas 5

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

M5 - Contenido de la norma


T茅rminos y definiciones

  • Control de acceso:
    Medios para asegurar que el acceso a los activos esta autorizado y restringido en funci贸n de los requisitos de negocio y de seguridad
  • Auditoria:
    Proceso sistem谩tico independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado de cumplimiento.
  • Alcance de auditoria:
    Extensi贸n y limites de una auditoria.
  • Conformidad:
    Cumplimiento de un requisito.
  • Competencia:
    Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos.
  • Mejora continua:
    Actividad recurrente para mejorar el desempe帽o.
  • Control:
    Medida que modifica el riesgo.
  • Objetivo de control:
    Declaraciones que describe lo que se quiere lograr como resultado de la implementaci贸n de controles.
  • Acci贸n correctiva:
    Actividad para eliminar la causa de una no conformidad.
  • Evento:
    Ocurrencia o cambio de un conjunto particular de circunstancias.
  • Incidente de SI:
    Evento o serie de eventos de la SI, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la SI.

![](

Control de acceso: Medios que aseguran el acceso adecuado a los usuarios. Auditor铆a: Revisi贸n que garantiza la mejora en el proceso y su grado de cumplimiento.
Alcance de auditor铆a: Donde inicia y hasta donde llega la revisi贸n
Conformidad: Aspectos que s铆 se cumplen.
No conformidad: Acciones de mejora.
Competencia: Auditor debe tener conocimientos t茅cnicos y en la norma para saber evaluar.
Mejora continua: Qu茅 se hace para que el sistema sea m谩s robusto cada d铆a.
Control: Mecanismos que se implementan para mitigar el riesgo.
Objetivo de control: A qu茅 apunta la revisi贸n.
Acci贸n correctiva: Compromisos de parte del responsable para corregir la "no conformidad"
Evento: Acontecimiento fuera del estado normal del sistema.
Incidente de SI: Acontecimientos que afectan la estabilidad de la triada de la informaci贸n (confidencialidad, integridad, disponibilidad).

驴Todos los controles que pone en operaci贸n la compa帽铆a deben estar explicitamente establecidos en pol铆ticas, procedimientos y/o gu铆as?

.

Contenido de la norma. T茅rminos y definiciones.

  • Control de acceso
    • Medios para asegurar que el acceso a los activos est谩 autorizado y restringido en funci贸n de los requisitos de negocio y de seguridad.
  • Auditor铆a
    • Proceso sistem谩tico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado de cumplimiento.
  • Alcance de auditor铆a
    • Extensi贸n y l铆mites de una auditor铆a.
  • Conformidad
    • Cumplimiento de un requisito.
  • Competencia
    • Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos.
  • Mejora continua
    • Actividad recurrente para mejorar el desempe帽o.
  • Control
    • Medida que modifica un riesgo.
  • Objetivo de control
    • Declaraci贸n que describe lo que se quiere lograr como resultado de la implementaci贸n de controles.
  • Acci贸n correctiva
    • Actividad para eliminar la causa de una no conformidad.
  • Evento
    • Ocurrencia o cambio de un conjunto particular de circunstancias.
  • Incidente de SI
    • Evento o serie de eventos de la SI, inesperados o no
      deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la SI.

Pregunta pregunta: Yo como Jefe de Sistemas o TI en mi organizaci贸n tengo la capacidad de hacer mi propio SGSI lo puedo hacer ? O esta tarea debe ser realizada por personas ajenas a la organizaci贸n ?

la acci贸n correctiva son las acciones que eliminan la causa, por lo tanto para poder describirla debe conocerse primero la causa ra铆z que genera el problema; es diferente a una correcci贸n, ya que esta ultima no elimina la causa, solo corrige el problema pero este puede continuar. Ejemplo, Problema se evidencia que el sistema inform谩tico de contabilidad no tiene control de accesos. Correcci贸n Colocar control de acceso al sistema de contabilidad, pero esto no garantiza que en un futuro vuela a no tener control de acceso. Acci贸n Correctiva. Realizar formaci贸n al encargado de las TIC en cuanto a la necesidad de controles de acceso de los sistemas de informaci贸n, ya que la causa del problema es que el encargado de las TIC no tenia conocimiento del tema de control de accesos

Garantizar el cumplimiento y realizar las respectivas auditorias internas.

  • La auditor铆a debe tomarse como un proceso aliado-estrat茅gico de mejora continua para la gesti贸n de la SI, no como un ente que solo viene a encontrar errores.

  • Una acci贸n correctiva se debe garantizar por la organizaci贸n para que se realice en tiempo (menor a 6 meses) y sea lograble, es decir, que se tengan los recursos necesarios.

*Control de acceso: Medios para asegurar que el acceso a los activos est谩 autorizado y restringido en funci贸n de los requisitos de negocio y de seguridad (Usuarios, roles y permisos, autenticaci贸n, privilegios).

*Auditor铆a: Proceso sistem谩tico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado de cumplimiento (Revisi贸n independiente y de manera objetiva que va a garantizar la mejora continua dentro de mi proceso).

*Alcance de auditor铆a: Extensi贸n y l铆mites de una auditor铆a.
*Conformidad: Cumplimiento de un requisito (Auditor encuentre conformidades bajo la norma).

*Competencia: Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos (Conocer la norma y el componente que se est谩 revisando).

*Mejora continua: Actividad recurrente para mejorar el desempe帽o.

*Control: Medida que modifica un riesgo.

*Objetivo de control: Declaraci贸n que describe lo que se quiere lograr como resultado de la implementaci贸n de controles.

*Acci贸n correctiva: Actividad para eliminar la causa de una no conformidad (Validado por el auditor para que si se mejore la no conformidad).

*Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.

*Incidente de SI: Evento o serie de eventos de la SI, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la SI.

Link a trello con los respectivos apuntes de esta clase y las anteriores!
.
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso
.

1. Control de Acceso
Medios para asegurar el acceso a los activos autorizados y restringido en funci贸n de los requisitos de negocio y seguridad.

2. Auditoria
Proceso sistem谩tico, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado de cumplimiento.

3. Alcance de Auditoria
Extensi贸n y limite de una auditoria .

4. Conformidad
Cumplimiento de un requisito. No conformidades acciones de mejora.

5. Competencia
Capacidad para aplicar conocimientos y habilidades con el fin de lograr resultados previstos.

6. Mejora Continua
Actividad recurrente para mejorar el desempe帽o.

7. Control
Medida que modifica el riesgo.

8. Objetivo de control
Declaraci贸n que describe lo que se requiere lograr como resultado de una complementaci贸n de controles.

  1. Acci贸n correctiva
    Actividad para eliminar la causa de una o conformidad.

  2. Evento
    Ocurrencia o cambio de un conjunto particular de circunstancias.

Incidente de SI
Evento o serie de eventos de la SI, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la SI.

Buen dia, una consulta la auditoria para la certificaci贸n en la norma se realiza sobre

  • El alcance que defini sobre algunos procesos
  • Sobre todos los procesos de la empresa.

---------------------------------------------T茅rminos y definiciones-------------------------------------------

Control de acceso: Medios para asegurar que el acceso a los activos est谩 tanto autorizado como restringido
en funci贸n de los requisitos de negocio y seguridad.
Auditoria: Proceso de revisi贸n independiente y de forma objetiva que garantiza la mejora continua dentro de lo proceso,
garantizando el cumplimiento de la ISO-27001.
Alcance de auditoria: Extensi贸n y l铆mite de la auditoria, se definen conceptos y elementos de la norma para
dar el alcance.
Conformidad: Cumplimientos a las normas o de un requisito.
No Conformidad: Incumplimientos a las normas o de un requisito.
Competencia: La capacidad que tiene un auditor para evaluar y tambi茅n tener las suficientes habilidades.
Mejora continua: Avanzar recurrente para mejorar el desempe帽o.
Control: medida que modifica un riesgo.
Objetivo de control: La declaraci贸n que describe lo que se quiere lograr.
Acci贸n correctiva: Actividad para eliminar la causa de una no conformidad.
Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
Incidentes de SI: Evento que puede poner en riesgo la estabilidad de la triada de la seguridad.

Excelente Clase muy util y necesaria saber terminos.

T茅rminos y definiciones


  • Control de acceso: Los medios para asegurar el acceso a los activos.
  • Auditor铆a: Procesos de revisi贸n independiente y de forma objetiva.
  • Alcance de la auditor铆a: definir el alcance de la revisi贸n.
  • Conformidad: Cumplimiento de cumplimientos a la norma.
  • Competencia: La capacidad que tiene el evaluador sobre la norma y el campo que revisa.
  • Mejora continua: Un proceso para la mejora en el desempe帽o
  • Control: Cualquier mecanismo que se implementa para mitigar el riesgo.
  • Objetivo del control: es la meta que a la que se quiere llegar con el control.
  • Acci贸n preventiva: Acciones para eliminar la causa deuna no conformidad.
    Evento: Ocurrencia o cambio que afecte el compromiso de la triada.

excelente aclaraciones

鈥 Control de Acceso: Todos los medios para asegurar el acceso a los activos de informaci贸n.
鈥 Auditoria: Proceso de revisi贸n independiente
鈥 Alcance de Auditoria: Se debe definir que se va a revisar, desde donde se empieza hasta donde llego
鈥 Conformidad: Se revisa el requisito
鈥 Competencia: La capacidad del auditor.
鈥 Mejora continua: Actividad recurrente para mejorar el desempe帽o.
鈥 Control: Medida que modifica o mitiga el riesgo
鈥 Objetivo del control: Declaraci贸n de lo que se requiere lograr
鈥 Acci贸n correctiva: Actividad para eliminar la causa de una no conformidad, debe ser validado por el auditor.
鈥 Evento: Ocurrencia o cambio
鈥 Incidente de SI: Evento o serie de evento de la SI

Terminos:

  • Control de acceso
    Auditoria
    Alcance de auditoria
    Conformidad
    Competencia
    Mejora continua
    Control
    Objetivo de control
    Acci贸n correctiva
    Evento
    Incidente de SI

Excelente

馃拵

A que se refiere con activos ?

Buena clase Alex Tovar 馃槈

La norma para auditor铆as de sistemas de gesti贸n es la ISO 19011.

o.o

interesante

Gracias por estas definiciones.

Buenisimo

As铆 como todo proyecto, es importante definir el alcance, esto nos permitir谩 saber el punto final o extremo

Este curso ser谩 un excelente reto!