Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Liderazgo y planificación

7/39
Recursos

Aportes 34

Preguntas 6

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

M7 - Contenido de la Norma


Contexto de la organización

La organización debe determinar las cuestiones externas e internas que son importantes para su propósito y que afectan su capacidad para lograr los resultados provistos de sus sistemas de gestión de la seguridad de la información.

  1. Comprensión de la organización y de su Contexto

Tener muy claro como mi SGSI apoya a la organización en otras palabras observar la empresa y su entorno antes de plantear sugerencias

  1. Comprensión de las necesidades y expectativas de las partes interesadas
  • ¿Que esperan de resultado?
  • ¿Como satisfago sus necesidades?
  1. Determinación del alcance del SGSI

Cual es el alcance, que voy a cubrir, se recomienda poner fases y se integren como un todo

  1. SGSI

es el resultado del trabajo

Liderazgo

La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la información

  1. Lidezargo y compromiso

Siempre al pie del cañón

  1. Política

se define por el encargado de SI pero difundida por la alta dirección

  1. Roles, Responsabilidades y Autoridades en la organización

debe de quedar claro quien es el oficial de seguridad de la información, la cabeza de seguridad y personas involucradas

Planificación

Al planificar la organización debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua.

  1. Acciones para tratar los riesgos y oportunidades

Identificar las cosas que posible mente genere No conformidades y garantizar oportunidades de mejora (mitigando riesgo y que las oportunidades fluyan de mejor manera)

  1. Objetivos de seguridad de la información y planificación para su consecución

Planificar que los objetivos de control se cumplan ej. siclos de vida de usuarios

¿Cuales estos items deben quedar plasmados en una documentados? ¿Existe algún sitio en donde se puedan visualizar ejemplos de estos entregables?

Querido Señor de Alta Gerencia quiero decirle unas palabras: "sudo -i"
Gracias.
[Suena de fondo el tema: "I got the power"
https://www.youtube.com/watch?v=j1BNcSBApOU]

1. Contexto de la Organización
Determinar las cuestiones externas e internas que son importantes para su propósito y que afectan su capacidad para lograr los resultados previstos de su SGSI.

2. ITEMS
4.1 Comprensión de la organización y de su contexto
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
4.3 Determinación del alcance de SGSI
4.4 Sistema de Gestión de la Seguridad de la Información

3. Liderazgo
La alta dirección debe demostrar liderazgo y compromiso con respecto al SGSI.
5.1 Liderazgo y Compromiso
5.2 Política
5.3 Roles, Responsabilidades y Autoridades en la Organización

4. Planificación
Asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua.
6.1 Acciones para tratar los riesgos y oportunidades
6.2 Objetivos de seguridad de la información y planificación para su consecución.

Increíble la clase. El liderazgo y la planificación son parte esencial de cualquier proceso de seguridad en la empresa.
Por otra parte, no solo es fundamental en la seguridad sino también en todos los aspectos de la vida. Tanto profesional como personal.

Oficial seguridad de la información (OSI) o también conocido Chief Information Security Officer (CISO), es el líder en la dirección de la seguridad de la información.

¿Donde puede encontrar los documentos o texto original de la norma?

A la hora de planificar, se debe asegurar que se pueda conseguir los resultados previstos:
.
-Debo tener claro y entender como funciona el negocio antes de aplicar el SGSI.
.
-Debo comprender la organizacion y su contexto.
.
-Debo entender las necesidades y expectativas.
.
-Determinar el alcance del Sistema de Gestion de Seguridad de la Informacion.
.
-Gestionar, marcar directrices y alineamiento de la Seguridad de la informacion.
.
-Tomar acciones para tratar riesgos y oportunidades de mejorar, tales como implementar otros controles.
.
-Determinar los objetivos para llevarlos a cabo.

Definitivamente sin la alta gerencia no se puede llevar a cabo una buena implementación de la ISO27001, Hay gerentes que creen que solo es pagar la consultoria y ya, sin tener en cuenta que como toda ISO requiere Compromiso de parte de la organización o solo resultara en letra muerta

-La alta gerencia de la empresa, debe demostrar compromiso respecto al SGSI, sino, no van a dedicar tiempo ni recursos.
.
-Debemos definir las politicas a llevar a cabo pero la alta gerencia, debe firmarlas para que sea aplicable para los demas.
.
-En las politicas, se deben asignar los roles, responsabilidades y autoridades en la organizacion.

excelente explicacion gracias

Si es un cliente quien se esta certificando, yo como proveedor debo cumplir lo mismo de la 27001 para que ellos se certifiquen? o que debo asegurar?

Importante los objetivos que se deben tenr

Hola, de casualidad alguien tendra un link para la Norma ISO 27001 en su ultima versión? Gracias

Contexto de la Organizacion

Debe Determinar las cuestiones externas e internas que son importantes para su proposito y que afectan su capacidad para lograr los
resultados previstos de su sistema de gestion de la seguridad de la informacion.(Donde estoy ubicado en la compañia y entender las necesidades de la
organizacion tanto de las partes internas como externas).

4.1 Compresion de la organizacion y de su contexto
4.2 Compresion de las necesidades y expectativas de las partes interesadas
4.3 Determinacion del alcance del SGSI
4.4 SGSI

Liderazgo

La Alta Direccion debe demostrar liderazgo y compromiso con respecto al SGSI.

5.1 Liderazgo y compromiso
5.2 Politica
5.3 Roles,Responsabilidades y Autoridades en la Organizacion

Planificacion

Al planificar la organizacion debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr una mejora continua.

6.1 Acciones para Tratar los Riesgos y Oportunidades
6.2 Objetivos de Seguridad de la informacion y Planificacion para su Consecucion.

Planificación Al planificar la organización debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua. * Acciones para tratar los riesgos y oportunidades (identificar y mitigar el riesgo) * Objetivos de seguridad de la información y planificación para su consecución (que se cumplan los objetivos de control)
Sin ánimos de criticar, en el minuto 1:26 “Comprensión de la necesidades de la partes interesadas tanto externas como externas”

A veces es muy complicado la planificacion y mas cuando las emrpesas no saben lo importante que es

Contenido de la norma

  • Contexto de la organización: La organización debe determinar las cuestiones externas e internas que son importantes para su propósito y que afectan su capacidad para lograr los resultados previstos de su sistema de gestión de la seguridad de la información (Entender contexto de la compañía, necesidades de la organización, como nuestro sistema de seguridad de información estará apoyando los intereses de cada una de las partes):
  1. Compresión de la organización y de su contexto (Tener muy claro como mi SGSI apoya a la organización en otras palabras observar la empresa y su entorno antes de plantear sugerencias).

  2. Compresión de las necesidades y expectativas de las partes interesadas (¿Que esperan de resultado? , ¿Cómo satisfago sus necesidades?).

  3. Determinación del alcance del sistema de gestión de la seguridad de la información (Cuál es el alcance, que voy a cubrir, se recomienda poner fases y se integren como un todo).

  4. Sistema de gestión de la seguridad de la información (Resultado del trabajo , entregable que se va a dar a la compañía).

  • Liderazgo: la alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la información
  1. Liderazgo y compromiso
  2. Política
  3. Roles, responsabilidades y autoridades en la organización (Oficial de seguridad de la información - OSI , equipo para que apoye el proceso de implementación para el SGSI).
  • Planificación: Al planificar la organización debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua.
  1. Acciones para tratar los riesgos y oportunidades (Identificar las cosas que posiblemente genere No conformidades y garantizar oportunidades de mejora (mitigando riesgo y que las oportunidades fluyan de mejor manera).

  2. Objetivos de seguridad de la información y planificación para su consecución (Planificar que los objetivos de control se cumplan ejm. ciclos de vida de usuarios, matriz en excel con roles, permisos y perfiles).

Link de los apuntes de esta clase y las anteriores Aqui abajo!
.
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Que pasa si solo hay una persona encargada de Sistemas, y la empresa apenas esta definiendo el puesto para el que estoy de responsable. Para implementar esta norma. Y es la única que ellos requieren.

.

Contenido de la Norma.
Esquema

  • Contexto de la Organización
    • La organización debe determinar las cuestiones externas e internas que son importantes para su propósito y que afectan su capacidad para lograr los resultados previstos de su sistema de gestión de la seguridad de la información.
    • Ítems específicos
      • 4.1 Comprensión de la Organización y de su Contexto.
      • 4.2 Comprensión de las Necesidades y Expectativas de las Partes Interesadas.
      • 4.3 Determinación del Alcance del Sistema de Gestión de la Seguridad de la Información.
      • 4.4 Sistema de Gestión de la Seguridad de la Información.
  • Liderazgo
    • La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la información.
    • Ítems específicos
      • 5.1 Liderazgo y Compromiso.
      • 5.2 Política.
      • 5.3 Roles, Responsabilidades y Autoridades en la Organización.
  • Planificación
    • Al planificar la organización debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua.
    • Ítems específicos
      • 6.1 Acciones para Tratar los Riesgos y Oportunidades.
      • 6.2 Objetivos de Seguridad de la Información y Planificación para su Consecución.

Planning

interesante

Contexto de Organización:
Saber como funciona el negocio d el a organización.
Que esperan las partes externas de mi gestión.
Que alcances voy a tener.
Liderazgo
Factor critico de éxito.
Liderazgo y compromiso.
Planificación
Acciones a tratar en riesgos y oportunidades.
Planifique sus objetivos de control buscado que se cumplan,

De la ISo 27001 resaltamos: 8 principios básicos de gestión:

1 Orientación al cliente.
2 Liderazgo.
3 Participación del personal.
4 Enfoque de procesos.
5 Enfoque de sistemas de gestión.
6 Mejora continua.
7 Enfoque de mejora continúa.
8 Relación mutuamente beneficiosa con el proveedor.

Pienso que el liderazgo es uno de los puntos más importantes ya que un sistema de gestión de seguridad de la información tiene que ver con todas las áreas, el área de tecnología no es totalmente responsable de esto.

muy importante el apoyo de la alta dirección

Liderazgo y planificación algo que siempre debe de ir a la par. Para que los objetivos se cumplan.

RESUMEN: 27001
1 Introducción.
2 Objetivos
3 Referencias
4 Contexto de la organización
5 Liderazgo
6 Planificación
7 Soporte
8 Operación
9 Evluación de desempeño
10 Mejora