Términos y definiciones

M5 - Contenido de la norma

Términos y definiciones

• Control de acceso:
  Medios para asegurar que el acceso a los activos esta autorizado y restringido en función de los requisitos de negocio y de seguridad
• Auditoria:
  Proceso sistemático independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado de cumplimiento.
• Alcance de auditoria:
  Extensión y limites de una auditoria.
• Conformidad:
  Cumplimiento de un requisito.
• Competencia:
  Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos.
• Mejora continua:
  Actividad recurrente para mejorar el desempeño.
• Control:
  Medida que modifica el riesgo.
• Objetivo de control:
  Declaraciones que describe lo que se quiere lograr como resultado de la implementación de controles.
• Acción correctiva:
  Actividad para eliminar la causa de una no conformidad.
• Evento:
  Ocurrencia o cambio de un conjunto particular de circunstancias.
• Incidente de SI:
  Evento o serie de eventos de la SI, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la SI.

![](

Control de acceso: Medios que aseguran el acceso adecuado a los usuarios. Auditoría: Revisión que garantiza la mejora en el proceso y su grado de cumplimiento.
Alcance de auditoría: Donde inicia y hasta donde llega la revisión
Conformidad: Aspectos que sí se cumplen.
No conformidad: Acciones de mejora.
Competencia: Auditor debe tener conocimientos técnicos y en la norma para saber evaluar.
Mejora continua: Qué se hace para que el sistema sea más robusto cada día.
Control: Mecanismos que se implementan para mitigar el riesgo.
Objetivo de control: A qué apunta la revisión.
Acción correctiva: Compromisos de parte del responsable para corregir la "no conformidad"
Evento: Acontecimiento fuera del estado normal del sistema.
Incidente de SI: Acontecimientos que afectan la estabilidad de la triada de la información (confidencialidad, integridad, disponibilidad).

¿Todos los controles que pone en operación la compañía deben estar explicitamente establecidos en políticas, procedimientos y/o guías?

.

Contenido de la norma. Términos y definiciones.

• Control de acceso
  • Medios para asegurar que el acceso a los activos está autorizado y restringido en función de los requisitos de negocio y de seguridad.
• Auditoría
  • Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado de cumplimiento.
• Alcance de auditoría
  • Extensión y límites de una auditoría.
• Conformidad
  • Cumplimiento de un requisito.
• Competencia
  • Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos.
• Mejora continua
  • Actividad recurrente para mejorar el desempeño.
• Control
  • Medida que modifica un riesgo.
• Objetivo de control
  • Declaración que describe lo que se quiere lograr como resultado de la implementación de controles.
• Acción correctiva
  • Actividad para eliminar la causa de una no conformidad.
• Evento
  • Ocurrencia o cambio de un conjunto particular de circunstancias.
• Incidente de SI
  • Evento o serie de eventos de la SI, inesperados o no
    deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la SI.

Pregunta pregunta: Yo como Jefe de Sistemas o TI en mi organización tengo la capacidad de hacer mi propio SGSI lo puedo hacer ? O esta tarea debe ser realizada por personas ajenas a la organización ?

la acción correctiva son las acciones que eliminan la causa, por lo tanto para poder describirla debe conocerse primero la causa raíz que genera el problema; es diferente a una corrección, ya que esta ultima no elimina la causa, solo corrige el problema pero este puede continuar. Ejemplo, Problema se evidencia que el sistema informático de contabilidad no tiene control de accesos. Corrección Colocar control de acceso al sistema de contabilidad, pero esto no garantiza que en un futuro vuela a no tener control de acceso. Acción Correctiva. Realizar formación al encargado de las TIC en cuanto a la necesidad de controles de acceso de los sistemas de información, ya que la causa del problema es que el encargado de las TIC no tenia conocimiento del tema de control de accesos

Garantizar el cumplimiento y realizar las respectivas auditorias internas.

• La auditoría debe tomarse como un proceso aliado-estratégico de mejora continua para la gestión de la SI, no como un ente que solo viene a encontrar errores.

• Una acción correctiva se debe garantizar por la organización para que se realice en tiempo (menor a 6 meses) y sea lograble, es decir, que se tengan los recursos necesarios.

*Control de acceso: Medios para asegurar que el acceso a los activos está autorizado y restringido en función de los requisitos de negocio y de seguridad (Usuarios, roles y permisos, autenticación, privilegios).

*Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado de cumplimiento (Revisión independiente y de manera objetiva que va a garantizar la mejora continua dentro de mi proceso).

*Alcance de auditoría: Extensión y límites de una auditoría.
*Conformidad: Cumplimiento de un requisito (Auditor encuentre conformidades bajo la norma).

*Competencia: Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos (Conocer la norma y el componente que se está revisando).

*Mejora continua: Actividad recurrente para mejorar el desempeño.

*Control: Medida que modifica un riesgo.

*Objetivo de control: Declaración que describe lo que se quiere lograr como resultado de la implementación de controles.

*Acción correctiva: Actividad para eliminar la causa de una no conformidad (Validado por el auditor para que si se mejore la no conformidad).

*Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.

*Incidente de SI: Evento o serie de eventos de la SI, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la SI.

Link a trello con los respectivos apuntes de esta clase y las anteriores!
.
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso
.

1. Control de Acceso
Medios para asegurar el acceso a los activos autorizados y restringido en función de los requisitos de negocio y seguridad.

2. Auditoria
Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado de cumplimiento.

3. Alcance de Auditoria
Extensión y limite de una auditoria .

4. Conformidad
Cumplimiento de un requisito. No conformidades acciones de mejora.

5. Competencia
Capacidad para aplicar conocimientos y habilidades con el fin de lograr resultados previstos.

6. Mejora Continua
Actividad recurrente para mejorar el desempeño.

7. Control
Medida que modifica el riesgo.

8. Objetivo de control
Declaración que describe lo que se requiere lograr como resultado de una complementación de controles.

1. Acción correctiva
   Actividad para eliminar la causa de una o conformidad.

2. Evento
   Ocurrencia o cambio de un conjunto particular de circunstancias.

Incidente de SI
Evento o serie de eventos de la SI, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio y de amenazar la SI.

Buen dia, una consulta la auditoria para la certificación en la norma se realiza sobre

• El alcance que defini sobre algunos procesos
• Sobre todos los procesos de la empresa.

---------------------------------------------Términos y definiciones-------------------------------------------

Control de acceso: Medios para asegurar que el acceso a los activos está tanto autorizado como restringido
en función de los requisitos de negocio y seguridad.
Auditoria: Proceso de revisión independiente y de forma objetiva que garantiza la mejora continua dentro de lo proceso,
garantizando el cumplimiento de la ISO-27001.
Alcance de auditoria: Extensión y límite de la auditoria, se definen conceptos y elementos de la norma para
dar el alcance.
Conformidad: Cumplimientos a las normas o de un requisito.
No Conformidad: Incumplimientos a las normas o de un requisito.
Competencia: La capacidad que tiene un auditor para evaluar y también tener las suficientes habilidades.
Mejora continua: Avanzar recurrente para mejorar el desempeño.
Control: medida que modifica un riesgo.
Objetivo de control: La declaración que describe lo que se quiere lograr.
Acción correctiva: Actividad para eliminar la causa de una no conformidad.
Evento: Ocurrencia o cambio de un conjunto particular de circunstancias.
Incidentes de SI: Evento que puede poner en riesgo la estabilidad de la triada de la seguridad.

Excelente Clase muy util y necesaria saber terminos.

Términos y definiciones

• Control de acceso: Los medios para asegurar el acceso a los activos.
• Auditoría: Procesos de revisión independiente y de forma objetiva.
• Alcance de la auditoría: definir el alcance de la revisión.
• Conformidad: Cumplimiento de cumplimientos a la norma.
• Competencia: La capacidad que tiene el evaluador sobre la norma y el campo que revisa.
• Mejora continua: Un proceso para la mejora en el desempeño
• Control: Cualquier mecanismo que se implementa para mitigar el riesgo.
• Objetivo del control: es la meta que a la que se quiere llegar con el control.
• Acción preventiva: Acciones para eliminar la causa deuna no conformidad.
  Evento: Ocurrencia o cambio que afecte el compromiso de la triada.

excelente aclaraciones

• Control de Acceso: Todos los medios para asegurar el acceso a los activos de información.
• Auditoria: Proceso de revisión independiente
• Alcance de Auditoria: Se debe definir que se va a revisar, desde donde se empieza hasta donde llego
• Conformidad: Se revisa el requisito
• Competencia: La capacidad del auditor.
• Mejora continua: Actividad recurrente para mejorar el desempeño.
• Control: Medida que modifica o mitiga el riesgo
• Objetivo del control: Declaración de lo que se requiere lograr
• Acción correctiva: Actividad para eliminar la causa de una no conformidad, debe ser validado por el auditor.
• Evento: Ocurrencia o cambio
• Incidente de SI: Evento o serie de evento de la SI

Terminos:

• Control de acceso
  Auditoria
  Alcance de auditoria
  Conformidad
  Competencia
  Mejora continua
  Control
  Objetivo de control
  Acción correctiva
  Evento
  Incidente de SI

Excelente

💎

A que se refiere con activos ?

Buena clase Alex Tovar 😉

La norma para auditorías de sistemas de gestión es la ISO 19011.

o.o

interesante

Gracias por estas definiciones.

Buenisimo

Así como todo proyecto, es importante definir el alcance, esto nos permitirá saber el punto final o extremo

Este curso será un excelente reto!