Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Soporte, operación, evaluación y mejora

8/39
Recursos

Aportes 82

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

Soporte, operación, evaluación y mejora

Soporte:

La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI.

7.1 recursos
7.2 competencia.
7.3 conciencia.
7.4 Comunicación.
7.5 Información documentada. (la norma no dice cómo debo identificar mis documentos, pero si marca directrices)

Operación
La organización debe poner en ejecución el sistema de gestión de seguridad de la información dentro de la compañía.

8.1 planificación y control operacional.
8.2 apreciación de los riesgos de seguridad de la información.
8.3 tratamiento de los riesgos de seguridad de la información.

Evaluación del desempeño
La organización debe evaluar el desempeño de la seguridad de la información y la eficacia de SGSI.

9.1 seguimiento, medición, análisis y evaluación.
9.2 Auditoria Interna
9.3 Revisión por la dirección.

10. Mejora
La organización debe evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir, ni ocurra en otra parte.
10.1 No conformidad y acciones correctivas. (esas no conformidades son entregadas por las auditorias y te dice que porcentaje o que parte de los objetivos de control estas cumpliendo)

En mi organización tenemos un profundo interés por hacer uso de buenas prácticas de seguridad pero desafortunadamente no hay políticas como tal o un departamento a cargo específicamente de monitorear o implementar sistemas de control de riesgos.

De hecho la razón por la que estoy tomando este curso es porque me interesa ser la persona que introduzca estas medidas y pueda someter la empresa a una auditoría para poder cumplir con la certificación.

Soporte, operación, evaluación y mejora
Soporte:
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI.
7.1 recursos
La implementación de un SGSI para necesariamente por disponer de los recursos necesarios para que el sistema de gestión pueda llevarse a cabo según lo planeado
Sin embargo, la norma a lo largo de toda su redacción deja claro que la responsabilidad de la organización y en concreto de la dirección es la de garantizar en todo momento la disponibilidad de los recursos para llevar a cabo las tareas y cumplir con los objetivos de la seguridad de la información
Veamos
Dentro del enfoque de procesos la norma ISO 27001 requiere que se cumplan con las necesidades de recursos para mantener la gestión de la Seguridad a lo largo de todo el ciclo de vida, desde su planificación hasta la revisión y mejora del sistema
Para ello se deberán disponer de medios como:
• Inversión económica:
Queda claro que la seguridad no nos va a salir gratis, es por ello que se requerirá un cierto nivel de inversión acorde con la evaluación de riesgos y los criterios para asumir o minimizar los distintos niveles de riesgo
• Instalaciones:
El lugar e instalaciones de una organización deben estar preparados para ofrecer niveles de seguridad proporcionales al riesgo al que está expuesta una organización.
• Equipos:
En ciertos casos deberemos de contar con equipos específicos para proporcionar sistemas de defensa o detección de intrusiones en nuestros sistemas de información y así mejorar los niveles de seguridad
• Personas:
Dentro de una organización podremos definir responsabilidades para todos los empleados en relación a la seguridad de la información, pero este no será su objetivo principal sino un medio por el cual podrán desempeñas mejor sus funciones contando con la ayuda de la seguridad de la información para conseguir sus objetivos comerciales

7.2 competencia.
Los requisitos de la norma para determinar la competencia del personal para llevar a cabo las tareas del SGSI se centran en
• Determinar la competencia necesaria del personal para llevar a cabo el trabajo que afecta al SGSI
• Asegurar que las personan sean competentes sobre la base de la educación, capacitación o experiencia adecuadas
• Demostrar mediante la información documentada que sea necesaria la competencia del personal en materia de Seguridad de la Información

7.3 conciencia.
Este punto del capítulo 7 se refiere básicamente a que las personas que gestionan el SGSI deben conocer todo lo relacionado con las políticas y los controles que se llevan a cabo en él.
En principio debemos hacernos estas preguntas para saber cómo hemos de abordar este punto
Las personas con responsabilidades en la seguridad de la información
• ¿Han leído y entendido la política de seguridad de la información de la organización?
• ¿Entienden la importancia de mantener y mejorar continuamente un SGSI?
• ¿Entienden las implicaciones de no mantener el SGSI y cumplir los requisitos de la norma ISO 27001?

7.4 Comunicación.
La cláusula establece que “la organización debe determinar la necesidad de comunicaciones internas y externas relevantes para el SGSI, lo que incluye”:
• Qué comunicar;
• Cuando comunicar;
• Con quien comunicarse;
• Quién se comunicará; y
• Los procesos por los cuales se efectuará la comunicación.
Un posible procedimiento que describa las diferentes formas de comunicación, es decir, reuniones formales o informales, lo que esperamos que se analice (puede usar las plantillas de agenda como una guía para las reuniones más formalizadas) y quiénes deberían ser las comunicaciones podría ser el camino para cumplir con este requisito

7.5 Información documentada. (la norma no dice cómo debo identificar mis documentos, pero si marca directrices)
Finalmente, están los requisitos para la “información documentada”. La nueva norma se refiere a “información documentada” en lugar de “documentos y registros” y requiere que se conserven como evidencia de competencia
Operación
La organización debe poner en ejecución el sistema de gestión de seguridad de la información dentro de la compañía.
8.1 planificación y control operacional
En este capítulo se nos presentan una serie de requisitos para controlar que estamos tomando las medidas adecuadas para lograr los objetivos de la Seguridad de la Información
En pasos anteriores hemos identificado los riesgos y establecido o seleccionado los controles que debemos implementar para abordar los riesgos y oportunidades de la seguridad de la información como parte de la planificación del SGSI

8.2 apreciación de los riesgos de seguridad de la información.

Llegados a este punto, la norma los requiere que realicemos las evaluaciones de riesgos a intervalos planificados según los criterios que hemos definido en la caula 6 donde se nos requiere que definamos apliquemos una evaluación de riesgos de seguridad de la información.
El punto 8.2 nos requiere solo que realicemos esa evaluación, ¡y eso es todo!
Se trata entonces de implementar las evaluaciones de riesgo de acuerdo con su proceso ya definido, programe estas evaluaciones de manera regular o además cuando sea necesario, y, por supuesto, documente sus hallazgos.
Ya hemos visto cuales son los pasos para la evaluación del riesgo de la seguridad de la información:
• Identificamos nuestros activos de información determinando las salidas de información de esos activos.
• Clasifique información y establezca una prioridad sobre esa información. Por ejemplo, los registros financieros y las contraseñas se clasifican como “información confidencial”.
• Estos luego evalué la prioridad de cada tipo de información mediante una puntuación o valoración del riesgo.
• Finalmente defina los controles necesarios para asegurar la información que supere determinado nivel de riesgo establecido según los criterios de riesgo de la organización

8.3 tratamiento de los riesgos de seguridad de la información.
Finalmente, el punto 8.3 requiere que se implemente el plan de tratamiento de riesgos de seguridad de la información que se definió en la cláusula 6 y, como siempre, registre los resultados de los indicadores establecidos.
El proceso de tratamiento de riesgos se lleva a cabo siempre después de cada evaluación de riesgos de seguridad para garantizar que se implementen los controles o mitigaciones correctas.
Evaluación del desempeño
La organización debe evaluar el desempeño de la seguridad de la información y la eficacia de SGSI.
9.1 seguimiento, medición, análisis y evaluación.
El primer requisito es determinar qué información necesitamos evaluar para medir el rendimiento del SGSI. Se trata de determinar que debemos medir y controlar, cuándo, quién y cómo.
Optimice los recursos
Un consejo práctico es evaluar o medir los que necesitamos realmente. No tiene mucho sentido monitorear y hacer mediciones solo porque su organización tiene la capacidad de hacerlo. Solo supervise y mida si cumple con el requisito de evaluar el rendimiento de la seguridad de la información y la eficacia del SGSI
Establezca metas
Cada organización puede tener distintas necesidades de información que además pueden cambiar con el tiempo.
Por ejemplo, en las etapas iniciales de un SGSI, puede ser importante controlar la participación en los eventos de concienciación sobre seguridad de la información. Una vez que se haya alcanzado la tasa deseada, la organización podría mirar más hacia la calidad del evento de sensibilización. Podría hacerlo estableciendo objetivos de conciencia específicos y determinando hasta qué punto los asistentes han comprendido lo que han aprendido. Más adelante, la necesidad de información puede extenderse para determinar qué impacto tiene este nivel de conciencia en la seguridad de la información para la organización.

9.2 Auditoría Interna
Se trata de un aspecto clave dentro de un sistema de gestión de seguridad de la información (SGSI), donde los requisitos principales son la planificación y la independencia de los auditores.
En organizaciones pequeñas suele ser de cierta dificultad el poder cumplir con el requisito de independencia requerido por este punto de la norma ya que disponer no solo de recursos competentes para implementar y mantener la norma sino además puede resultar a veces un gran esfuerzo afrontar el requisito de recursos capacitados e independientes para realizar las auditorías internas
Veamos los requisitos más en detalle
Como requisito fundamental ISO 27001 obliga a que la organización realice auditorías internas a intervalos planificados para proporcionar información sobre si el SGSI cumple con los requisitos propios de la organización para su SGSI así como con los requisitos de la norma.
Además
Programa de Auditoria
Un programa de auditoria debería contemplar
• La frecuencia y las fechas previstas
• El alcance de la auditoría interna,
• Los métodos por los cuales se llevará a cabo la auditoría interna
• La asignación de responsabilidades para la planificación, la realización y la presentación de informes de los resultados de la auditoría inter

9.3 Revisión por la dirección.
La norma ISO 27001 nos pone como requisito realizar una revisión o examen periódico del SGSI realizado por la dirección. Si bien no es obligatorio reunirse, a menudo es más fácil programar reuniones de revisión de la gerencia de forma periódica donde junto con las partes interesadas relevantes y revisemos el desempeño del SGSI a intervalos definidos.

  1. Mejora
    La organización debe evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir, ni ocurra en otra parte.
    10.1 No conformidad y acciones correctivas. (esas no conformidades son entregadas por las auditorias y te dice que porcentaje o que parte de los objetivos de control estas cumpliendo)

En mi organización hace falta el liderazgo y el apoyo de la alta gerencia, siempre ponen pretextos al momento de hacer propuestas.

En mi organización hay falta de recursos económicos y humanos calificados. Va a ser un gran desafío cambiar el paradigma sobre el manejo de la información e implementar la norma.

Falta de las competencias. creo que es la principal traba

Mejora: La organizacion debe evaluar la necesidad de acciones, para eliminar las causas de la no conformidad, con el fin de que esto no vuelva a ocurrir.
.
No conformidad: Es el incumplimiento de las normas, tales como politicas no aplicadas.
.
Acciones correctivas: Son las acciones que se encargan de mejorar continuamente, aplicar nuevas politicas o actualizar controles.
.

Evaluacion: Se debe evaluar el rendimiento de la seguridad, politicas, normas que han sido implementadas.
.
-Se debe realizar un seguimiento, medicion, analisis y evaluacion, aplicando sanciones a los que no cumplen lo implementado.
.
-Realizar auto-evaluaciones para re-ajustar lo implementado.
.
-Revision gracias a las altas direcciones, para ver si todo estuvo bien o algo empeoro el rendimiento laboral.
.

Soporte: La organizacion, debe determinar y proporcionar los recursos necesarios.
Para el establecimiento, implementacion, mantenimiento y mejora del SGSI.
.
Se basa en varios puntos:
.
Recursos: Habla de dinero y las horas de trabajo.
.
Competencia: Habilidades y talente del auditor
.
Concienciacion: Capacitar usuarios para que se implenten las normas de manera correcta y generar conciencia.
.
Comunicacion: Comunicar como va el proyecto y como va el proceso.
.
Informacion documentada: Se debe documentar las politicas y notificar las no conformidades y como se documentan las acciones correctivas
.

Yo no me encuentro en ninguna empresa u organización, pero me doy cuenta cuando ingreso a lugares como agencias u oficinas, en las cuales veo puertos usb por todos lados, yo estoy estudiando ciberseguridad, y siempre es util conocer algunos tipos de estándares como la ISO, OWASP, NIST, etc.

En mi opinion es la falta de compromiso, y la concientización.

Creo que en la empresa donde laboro el problema es la comunicación y la documentación de procesos para que el personal conozca el debe ser de cada proceso. Al no tenerlo documentado cada que una persona sale de la compañía se queda con el conocimiento de la persona anterior si tuvo la oportunidad de conocerlo de lo contrario realiza sus actividades conforme lo que va aprendiendo, pero no se sigue una proceso idóneo, al no saber donde encontrar como realizar sus actividades o por falta de comunicación.

Link a Trello con los apuntes de esta clase y las anteriores clases, para repasar los contenidos!
Aqui abajo
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

.

Contenido de la Norma.
Esquema - Continuación.

  • Soporte
    • La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI.
    • Ítems específicos
      • 7.1 Recursos.
      • 7.2 Competencia.
      • 7.3 Concienciación.
      • 7.4 Comunicación.
      • 7.5 Información Documentada.
  • Operación
    • La organización debe poner en ejecución el Sistema de Gestión de Seguridad de la Información dentro de la compañía.
    • Ítems específicos
      • 8.1 Planificación y Control Operacional.
      • 8.2 Apreciación de los Riesgos de Seguridad de la Información.
      • 8.3 Tratamiento de los Riesgos de Seguridad de la Información.
  • Evaluación del Desempeño
    • La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del SGSI.
    • ítems específicos
      • 9.1 Seguimiento, Medición, Análisis y Evaluación.
      • 9.2 Auditoría Interna.
      • 9.3 Revisión por la Dirección.
  • Mejora
    • La Organización debe evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir, ni ocurra en otra parte.
    • ítem específico
      • 10.1 No Conformidad y Acciones Correctivas.

Soporte :
En mi empresa falta normas de liderazgo , recursos , competencia .

Operación:

todo bien

Evaluación del desempeño:
falta seguimiento, medición, análisis y evaluación.

  • Revisión por la dirección.

No puedo hablar acerca de la seguridad de alguna organización, pues no estoy en ninguna, pero ser[ia muy genial toparme con una pronto.

En mi organización lo que falta es el apoyo de los altos directivos. Aun no son conscientes del valor de la Seguridad Informática y lo consideran como un área de servicios, cuando en realidad debería ser parte y acompañar al negocio.

Auditoria interna. Esto debe ser el mismo OSI? o la empresa debe tener a parte de alguien implementando controles y trabajando sobre el ISMS otra persona que funcione como auditor interno?

Un obstaculo en mi organizacion es que no se le da la importancia que se merece a la seguridad de la informacion y se ve a la seguridad de la informacion como algo netamente del area de TI. Siendo algo tan importante y que en realidad es algo que debe ser una regla del negocio para toda la organizacion

Operacion: La operacion, es llevar a cabo a la practica, la teoria y lo que he definido, ya sea objetivo, politicas y normas.
.
-Se debe planificar y controlar la operacion.
.
-Se debe apreciar los riesgos y analizarlos.
.
-Para luego, tratarlos, implementando controles.

El ciber crimen naturalmente me obliga a que mi sistema de seguridad de información esté evolucionando y esté actualizado a la vanguardia.

Mi universidad no tiene medidas de seguridad. Su sistema de control de alumnos que sirve para nosotros ver nuestras calificaciones y ese tipo de cosas consta de una contraseña de máximo 4 dígitos (sí, solamente números, ni siquiera letras).

Hay una falla de seguridad que nos permite entrar a la cuenta de los demás alumnos para ver sus calificaciones. Claramente, todo el mundo la usa sin que los profese se enteren.

Yo considero que en mi organizacion esta fallando la comunicacion y la informacion documentada pues hay muy poca documentacion de los procesos y poca comunicacion y revision sobre la proteccion de la integridad de la informacion que dichos procesos manejan.

Al involucrar a los usuarios y mandos medios y altos, siempre es mas fácil lograr el éxito ya que se baja el número de detractores del proyecto

Mi antiguo lugar de trabajo se certifico en ISO 9001:2015, y la principal barrera fue la renuncia de los mandos medios a dar tiempo a la revisión de procesos y ajustarse al cambio, ponían como pretexto la operación y evadían asignar tiempo. Vi la importancia del roll de dirección general, hasta que ellos dieron un ultimátum la gente cambio de actitud.

suena muy bien

Veo muchos comentarios donde comentan que su principal traba es el compromiso de los altos directivos, afortunadamente en mi organización es totalmente lo contrario, la certificación fue idea de los altos directivos, están contratando personal e infraestructura con ese objetivo; igualmente tienen miras hacia otras certificaciones como PCI DSS, estoy muy agradecido con mi organización por ello. Sin embargo, diría que la mayor traba en mi empresa es el personal capacitado, a veces nos encontramos a la deriva en algunas implementaciones.

Lo que identifico en la organización se relaciona fundamentalmente con el apoyo de la alta dirección porque se tiene la falsa creencia que esto es un tema únicamente tecnológico. De otra parte creo que una buena parte del éxito en la implementación y el correcto funcionamiento del SGSI tiene que ver con la participación activa de los funcionarios la cual se logra informando y capacitando continuamente.

En la organización donde estoy actualmente creo que no se está cumpliendo ninguno de los roles mencionados, principalmente por que el área de TI no tiene el apoyo de gerencia como se le espera, y omo lo indica la norma iso 27001, es lo fundamental.

En la organización donde laboro actualmente, no existe un liderazgo ni los recursos necesarios para establecer un SGSI, esto puede venir del hecho de que no se evalúan los posibles riesgos que existen y el impacto que estos pudiesen tener en el proceso productivo o en la reputación.

En la organizacion donde trabajo siento que tratan de enfocarse en muchos de los puntos de la norma pero fallan en la parte de la evaluacion, debido a que no hay chequeos de si se estan implementando estas normas, incluso haciendo que algunas personas las pasen por alto, seria bueno que se enfocaran en esa parte y en la mejora continua, ya que se mantienen en el mismo rol y esto contribuye a que no haya un cambio en la conducta de los usuarios ni en la implementacion del sistema

Actualmente en mi compañía faltan bastantes controles para que la seguridad de la información se implemente de manera óptima.
Uno de los objetivos para este año 2022 es obtener la certificación en la norma ISO 27001 y para ayudar en ese proceso estoy aquí aprendiendo…

gracias a estas clases veo que en mi empresa hay muchas inconsistencias se ha realizado un plan de intervención pero el obstáculo que creo debe ser el de muchos es el costo que implica esto

(9) Evaluación del desempeño. La organización debe evualuar el desempeño de la seguridad de la infromación y la eficacia del SGSI.

  1. Seguridad, medicion analisis y evaluación. Revisar continuamente, si cumplen, si entienden, que hay que ir mejorando.
  2. Auditoria interna. Yo mismo me reviso, como esta funcionando, autoevaluación, opinión de un tercero que puede ser de un interno, que debe ser dependiente.
  3. Revisión por la dirección. Alta gerencia entrega resultados de gestión, si en realidad le están ayudando.

La principal deficiencia en mi organización es la evaluación de desempeño

En mi organización es poco lo que se tiene sobre el sistema de gestión y seguridad, quiero implementarlo y espero que este curso me de un primer gran paso para empezar a hacerlo.

NO he generado una CMDB para poder llevar un control de los equipos y de las credenciales de los mismos 

En mi organización actual, el sistema de gestión de la seguridad de la información es muy bueno ya que por el tipo de negocio que es Banca nuestra reputación lo es todo. Y gracias a eso la alta gerencia y todas las áreas estamos muy involucradas en cumplir las políticas. Poniendo especial énfasis en la mejora continua y es común ver como se modifican normas para no vernos afectados por nuevas amenazas

En mi caso en la empresa donde yo trabajo hay muchas cosas por hacer, empezando por la concientización a los usuarios, es difícil hacerles entender lo importante de protegernos, falta también mas apoyo de la alta dirección que cree que lo desde TI se pide es solo por hacerles gastar dinero. Espero culminar esta escuela y hacer un buen SGSI para la compañía.

En la organización donde laboro actualmente ya esta implementado el SGSI basado en la ISO27001, se tienen buenas practicas y constante mejora continua, este curso me esta preparando para ser un mejor gestor de la seguridad de la información en mi organización.

La gestión de los riegos: se logra identificar sin embargo no se logra dar los recursos necesarios para la planeación o acciones a tomar, a veces se encuentran con personas reacias al cambio. Este modelo de mejora ISo 27001 logra poner al descubierto bastantes situaciones de riesgo.

Soporte
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI

7.1 Recursos.
7.2 Competencia.
7.3 Concienciación.
7.4 Comunicación.
7.5 Información Documentada.

Operación
8.1 Planificación y Control Operacional.
8.2 Apreciación de los Riesgos de Seguridad de la Información.
8.3 Tratamiento de los Riesgos de Seguridad de la Información.

Evaluación del Desempeño
La organización debe evaluar el desempeño de la seguridad de información y la eficacia del SGSI
9.1 Seguimiento, Medición, Análisis y Evaluación.
9.2 Auditoria Interna.
9.3 Revisión por la dirección.

Mejora
La organización debe evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir, ni ocurra en otra parte.

10.1 No conformidad y Acciones Correctivas.

Hola,

Donde laboro actualmente están en proceso, dando mucha importancia al SGSI
Y mientras más averiguo es interesante… es muy amplio.

Creo que la mayoria de casos es la falta de recursos , sin duda alguna.

Excelente clase, solo me queda una duda, hablamos de buenas practicas, ¿No seria una mejor opción las Mejores Prácticas?

Apenas voy a empezar con este Proceso…

Buenas tardes

En la empresa que laboro no se aplican ningun tipo de seguridad con los proveedores de software no se tiene un control, soporte y evaluacion del servicio adquirido, internamente aplicamos la parte de roles y responsabilidades en cuanto al cargo y un poco a la información.

¿Se deben aceptar las excepciones a los controles establecidos en una organización?

En mi organización el dolo de cabeza son los pocos recursos q tenemos para gestionar todo.

¿Existe la Automatización de cada uno de los procesos de soporte, operación, evaluación y mejora? y ¿En una organización de mas de 120 personas distribuidas entre las diferentes áreas, que numero de personal y roles debe haber en el área de SGSI o TI?

En mi empresa todos estamos involucrados en lo que tenemos y continuamente estamos en capacitación

Soporte: La organización debe determinar y proporcionar los recursos necesarios para la implementación mantenimiento y mejora,

Evaluación del Desempeño: La organización debe evaluar el desempeño y la eficacia del SGSI.

Operación: La organización debe poner en ejecución el sistema de gestión de seguridad de la información.

Mejora: La organización debe evaluar la necesidad de acciones para eliminar causas de incumplimientos para que no vuelva a ocurrir.

considero que cambiar la cultura en cuanto a como hacer un proceso , y mucho mas en personas que siempre lo han manejado de una manera especifica , sin saber que eso puede afectar la seguridad en la informacion

En una empresa en la que trabaje no tenia claro los perfiles y quien debería tener o no acceso a la información (hasta ahora estaban montando el directorio activo), ya que todos guardaban en su propio drive y la información no convergía en la empresa sino que era mas propiedad de los empleados y la empresa no podía hacer control a dicha información.

uno de los mayores obstáculos dentro de una organización y el principal a vencer es no tener a una persona capacitada o abierta aprender nuevas tecnologías o normas, esto traba bastantes proyectos de mejora en muchas de las áreas de oportunidad. No se aplican porque ese persona encargada del área se siente rebasada en conocimientos por los subordinados y no puede quedar mal en ese sentido con la alta dirección

Hola tengo una pregunta la Información Documentada puede tenerla la empresa de forma electrónica ya sea en alguna base de datos o en algún otro dispositivo llamese USB, Disco Duro Externo, etc.
Gracias

En varias organizaciones en la que he estado, una de las dificultades es materializar todo este sistema en algo visualmente hermoso y funcional. No me convence llevar todos estos controles en tablas de Excel.

En mi organización falta liderazgo y compromiso por parte de los altos mandos, ahora que estoy tomando este curso veo lo importante que es tener al menos una política de seguridad de la información. Mi objetivo ahora será promover las buenas practicas de seguridad y tratar de conseguir mas compromiso por parte de la organización

Falta de liderazgo creo yo, espero impulsar la creación del SGSI en mi empresa.

El compromiso a la mejora continua es el área donde mas nos cuesta debido a que estamos acostumbrados a un proceso que cambia de la noche a la mañana y al implementarlo es un poco molesto o retrasa muchos procesos, pero vamos a seguir aprendiendo para implementarlo en una nueva compañia.

Para la implementación de un SGSI en mi organización, hace falta el liderazgo por parte de la alta dirección, se denota también una escasez de recursos y falta de cultura sobre la información que se maneja y la seguridad de la misma.

Uno de los obstáculos que se están presentando en mi organización es la falta de liderazgo y concientización de seguridad de la información, hemos estado trabajando en eso pero ven el sistema de gestión como un retraso para sus actividades.

En mi compañia hace falta mucha concientizacion y comunicacion al respecto de las normas de seguridad de la informacion.

(10) Mejora.
La organización debe evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir, ni ocurra en otra parte. Crecimiento de amenazas
10.1 No conformidad y acciones correctivas. Incumplimiento de la norma y yo como responsable que me comprometí.

  • La auditoría ayuda a tener una mejora continua reduciendo las no conformidades.

  • La alta dirección genera un feedbak del funcionamiento del SGSI, que sirve para tener una mejora continua y saber si no estamos entorpeciendo otros procesos de la organización.

Hola ingeniero @atovar, quería realizarle una consulta. Cada cuanto se deben actualizar las políticas de Seguridad de la Información?

En la organización donde actualmente estoy laborando, la nueva administración ha mostrado un parte positivo con respecto a liderar e implementar diferentes modelos que nos permitan demostrar un mejor desempeño, aunque hay falencias que aun se presentan pero que poco a poco se pretenden solucionar. La alta dirección comenzó adquiriendo equipos idóneos para implementaciones y definiendo personal para dicho fin, aunque creeria que seria buena opcion definir un lider y un area de lleno para cumplir con lo relacionado al cumplimiento del SGSI.

En mi organización falta apoyo de la alta dirección. Si bien se cuenta con el recurso, muchas de las veces no se le da importancia a que la información es el activo mas valioso y las mejoras las consideran como un gasto. Hasta que tenemos un incidente es donde se nos pide cuentas y correcciones.

Bueno a la hora de implementar el SGSI en la empresa donde trabajo se han tenido los siguientes obstaculos: Liderazgo y Soporte. Creo que se debe a que la Alta dirección aún sigue subestimando el impacto que puede tener un ciberataque en su operación. Es una lástima!

Todos XD

Hola!
donde laboro no tienen ningún SGSI como tal, lastimosamente, y quienes tienen el cargo de toma de decisiones no le dan la importancia del caso

No estoy en ninguna organización , pero creo que en la anterior que estuve fallaba todo esto.

En la organización donde laboro, no existe un Sistema de Gestión de Seguridad de la Información, por lo tanto, el desafío va ser grande

Demasiada información para un solo curso, pero es necesario

h

De nuevo, excelente clase.
Me gusta mucho que hacen hincapié en la mejora continua. En mi opinión, sea cual sea el entorno donde te desenvuelves, si no tienes un proceso claro de mejora continua tarde o temprano quedarás obsoleto.
A seguir aprendiendo. Muy bueno el curso