Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

Liderazgo y planificaci贸n

7/39
Recursos

Aportes 30

Preguntas 4

Ordenar por:

Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Reg铆strate o inicia sesi贸n para participar.

M7 - Contenido de la Norma


Contexto de la organizaci贸n

La organizaci贸n debe determinar las cuestiones externas e internas que son importantes para su prop贸sito y que afectan su capacidad para lograr los resultados provistos de sus sistemas de gesti贸n de la seguridad de la informaci贸n.

  1. Comprensi贸n de la organizaci贸n y de su Contexto

Tener muy claro como mi SGSI apoya a la organizaci贸n en otras palabras observar la empresa y su entorno antes de plantear sugerencias

  1. Comprensi贸n de las necesidades y expectativas de las partes interesadas
  • 驴Que esperan de resultado?
  • 驴Como satisfago sus necesidades?
  1. Determinaci贸n del alcance del SGSI

Cual es el alcance, que voy a cubrir, se recomienda poner fases y se integren como un todo

  1. SGSI

es el resultado del trabajo

Liderazgo

La alta direcci贸n debe demostrar liderazgo y compromiso con respecto al sistema de gesti贸n de la seguridad de la informaci贸n

  1. Lidezargo y compromiso

Siempre al pie del ca帽贸n

  1. Pol铆tica

se define por el encargado de SI pero difundida por la alta direcci贸n

  1. Roles, Responsabilidades y Autoridades en la organizaci贸n

debe de quedar claro quien es el oficial de seguridad de la informaci贸n, la cabeza de seguridad y personas involucradas

Planificaci贸n

Al planificar la organizaci贸n debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua.

  1. Acciones para tratar los riesgos y oportunidades

Identificar las cosas que posible mente genere No conformidades y garantizar oportunidades de mejora (mitigando riesgo y que las oportunidades fluyan de mejor manera)

  1. Objetivos de seguridad de la informaci贸n y planificaci贸n para su consecuci贸n

Planificar que los objetivos de control se cumplan ej. siclos de vida de usuarios

驴Cuales estos items deben quedar plasmados en una documentados? 驴Existe alg煤n sitio en donde se puedan visualizar ejemplos de estos entregables?

Querido Se帽or de Alta Gerencia quiero decirle unas palabras: "sudo -i"
Gracias.
[Suena de fondo el tema: "I got the power"
https://www.youtube.com/watch?v=j1BNcSBApOU]

1. Contexto de la Organizaci贸n
Determinar las cuestiones externas e internas que son importantes para su prop贸sito y que afectan su capacidad para lograr los resultados previstos de su SGSI.

2. ITEMS
4.1 Comprensi贸n de la organizaci贸n y de su contexto
4.2 Comprensi贸n de las necesidades y expectativas de las partes interesadas
4.3 Determinaci贸n del alcance de SGSI
4.4 Sistema de Gesti贸n de la Seguridad de la Informaci贸n

3. Liderazgo
La alta direcci贸n debe demostrar liderazgo y compromiso con respecto al SGSI.
5.1 Liderazgo y Compromiso
5.2 Pol铆tica
5.3 Roles, Responsabilidades y Autoridades en la Organizaci贸n

4. Planificaci贸n
Asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua.
6.1 Acciones para tratar los riesgos y oportunidades
6.2 Objetivos de seguridad de la informaci贸n y planificaci贸n para su consecuci贸n.

Incre铆ble la clase. El liderazgo y la planificaci贸n son parte esencial de cualquier proceso de seguridad en la empresa.
Por otra parte, no solo es fundamental en la seguridad sino tambi茅n en todos los aspectos de la vida. Tanto profesional como personal.

Oficial seguridad de la informaci贸n (OSI) o tambi茅n conocido Chief Information Security Officer (CISO), es el l铆der en la direcci贸n de la seguridad de la informaci贸n.

驴Donde puede encontrar los documentos o texto original de la norma?

A la hora de planificar, se debe asegurar que se pueda conseguir los resultados previstos:
.
-Debo tener claro y entender como funciona el negocio antes de aplicar el SGSI.
.
-Debo comprender la organizacion y su contexto.
.
-Debo entender las necesidades y expectativas.
.
-Determinar el alcance del Sistema de Gestion de Seguridad de la Informacion.
.
-Gestionar, marcar directrices y alineamiento de la Seguridad de la informacion.
.
-Tomar acciones para tratar riesgos y oportunidades de mejorar, tales como implementar otros controles.
.
-Determinar los objetivos para llevarlos a cabo.

-La alta gerencia de la empresa, debe demostrar compromiso respecto al SGSI, sino, no van a dedicar tiempo ni recursos.
.
-Debemos definir las politicas a llevar a cabo pero la alta gerencia, debe firmarlas para que sea aplicable para los demas.
.
-En las politicas, se deben asignar los roles, responsabilidades y autoridades en la organizacion.

excelente explicacion gracias

Si es un cliente quien se esta certificando, yo como proveedor debo cumplir lo mismo de la 27001 para que ellos se certifiquen? o que debo asegurar?

Importante los objetivos que se deben tenr

Hola, de casualidad alguien tendra un link para la Norma ISO 27001 en su ultima versi贸n? Gracias

Contexto de la Organizacion

Debe Determinar las cuestiones externas e internas que son importantes para su proposito y que afectan su capacidad para lograr los
resultados previstos de su sistema de gestion de la seguridad de la informacion.(Donde estoy ubicado en la compa帽ia y entender las necesidades de la
organizacion tanto de las partes internas como externas).

4.1 Compresion de la organizacion y de su contexto
4.2 Compresion de las necesidades y expectativas de las partes interesadas
4.3 Determinacion del alcance del SGSI
4.4 SGSI

Liderazgo

La Alta Direccion debe demostrar liderazgo y compromiso con respecto al SGSI.

5.1 Liderazgo y compromiso
5.2 Politica
5.3 Roles,Responsabilidades y Autoridades en la Organizacion

Planificacion

Al planificar la organizacion debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr una mejora continua.

6.1 Acciones para Tratar los Riesgos y Oportunidades
6.2 Objetivos de Seguridad de la informacion y Planificacion para su Consecucion.

Link de los apuntes de esta clase y las anteriores Aqui abajo!
.
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Que pasa si solo hay una persona encargada de Sistemas, y la empresa apenas esta definiendo el puesto para el que estoy de responsable. Para implementar esta norma. Y es la 煤nica que ellos requieren.

.

Contenido de la Norma.
Esquema

  • Contexto de la Organizaci贸n
    • La organizaci贸n debe determinar las cuestiones externas e internas que son importantes para su prop贸sito y que afectan su capacidad para lograr los resultados previstos de su sistema de gesti贸n de la seguridad de la informaci贸n.
    • 脥tems espec铆ficos
      • 4.1 Comprensi贸n de la Organizaci贸n y de su Contexto.
      • 4.2 Comprensi贸n de las Necesidades y Expectativas de las Partes Interesadas.
      • 4.3 Determinaci贸n del Alcance del Sistema de Gesti贸n de la Seguridad de la Informaci贸n.
      • 4.4 Sistema de Gesti贸n de la Seguridad de la Informaci贸n.
  • Liderazgo
    • La alta direcci贸n debe demostrar liderazgo y compromiso con respecto al sistema de gesti贸n de la seguridad de la informaci贸n.
    • 脥tems espec铆ficos
      • 5.1 Liderazgo y Compromiso.
      • 5.2 Pol铆tica.
      • 5.3 Roles, Responsabilidades y Autoridades en la Organizaci贸n.
  • Planificaci贸n
    • Al planificar la organizaci贸n debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua.
    • 脥tems espec铆ficos
      • 6.1 Acciones para Tratar los Riesgos y Oportunidades.
      • 6.2 Objetivos de Seguridad de la Informaci贸n y Planificaci贸n para su Consecuci贸n.

Planning

interesante

Definitivamente sin la alta gerencia no se puede llevar a cabo una buena implementaci贸n de la ISO27001, Hay gerentes que creen que solo es pagar la consultoria y ya, sin tener en cuenta que como toda ISO requiere Compromiso de parte de la organizaci贸n o solo resultara en letra muerta

Contexto de Organizaci贸n:
Saber como funciona el negocio d el a organizaci贸n.
Que esperan las partes externas de mi gesti贸n.
Que alcances voy a tener.
Liderazgo
Factor critico de 茅xito.
Liderazgo y compromiso.
Planificaci贸n
Acciones a tratar en riesgos y oportunidades.
Planifique sus objetivos de control buscado que se cumplan,

Pienso que el liderazgo es uno de los puntos m谩s importantes ya que un sistema de gesti贸n de seguridad de la informaci贸n tiene que ver con todas las 谩reas, el 谩rea de tecnolog铆a no es totalmente responsable de esto.

muy importante el apoyo de la alta direcci贸n

Liderazgo y planificaci贸n algo que siempre debe de ir a la par. Para que los objetivos se cumplan.

De la ISo 27001 resaltamos: 8 principios b谩sicos de gesti贸n:

1 Orientaci贸n al cliente.
2 Liderazgo.
3 Participaci贸n del personal.
4 Enfoque de procesos.
5 Enfoque de sistemas de gesti贸n.
6 Mejora continua.
7 Enfoque de mejora contin煤a.
8 Relaci贸n mutuamente beneficiosa con el proveedor.

RESUMEN: 27001
1 Introducci贸n.
2 Objetivos
3 Referencias
4 Contexto de la organizaci贸n
5 Liderazgo
6 Planificaci贸n
7 Soporte
8 Operaci贸n
9 Evluaci贸n de desempe帽o
10 Mejora