Introducción a la norma ISO 27001
Qué aprenderás sobre la norma ISO 27001
Historia de la norma ISO27001
Principios generales de la seguridad de la información
El Sistema de Gestión de Seguridad de la Información
Contenido de la norma
Términos y definiciones
¿En qué consiste la ISO27001?
Liderazgo y planificación
Soporte, operación, evaluación y mejora
Introducción al anexo A
Últimos elementos del anexo A
Gestión de Riesgos
Clasificación de los activos de información
Inventario de activos de información
Laboratorio: construyendo una matriz de activos de información
Finalizar la revisión de la matriz de activos de información
Niveles de riesgo
Tratamiento de riesgo
Los controles
Laboratorio: construyendo una matriz de riesgos
Revisión de los controles y mapa de calor de la matriz de riesgos
Las tres líneas de defensa
ISO 27001: declaración de aplicabilidad
Controles de seguridad: Políticas y controles de acceso
Política de seguridad de la información y gestión de activos
Controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Seguridad física y del entorno, de las operaciones y las comunicaciones
Seguridad de las operaciones
Seguridad de las comunicaciones
Controles de seguridad: Sistemas de información
Requisitos de seguridad en sistemas de información
Laboratorio: aplicar una lista de verificación
Relación con proveedores
Cumplimiento
Auditoría
¿Qué es auditoría?
Términos de la auditoría
Fases de una auditoría
Resultados de la auditoría
Laboratorio: realizar el reporte de algunas no conformidades
Gestión de la Continuidad del Negocio
BCP, BIA, RTO y RPO
Laboratorio: construyendo un BCP para un solo proceso
Cierre del curso
Simulacro del examen de certificación para Auditor Interno ISO 27001
Conclusiones y cierre del curso
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Si ya tienes una cuenta,
Introducción al anexo A
9/39Recursos
¿Qué es el anexo A de la norma ISO 27001?
El Anexo A de la norma ISO 27001 es un catálogo esencial de controles que ofrece una lista de elementos fundamentales para la seguridad de la información en una organización. Aunque no todos los controles se aplican a todas las organizaciones, debido a diferencias de tamaño y alcance de los sistemas de gestión de seguridad, el Anexo A proporciona una base sólida para determinar qué controles son relevantes para cada empresa.
¿Cuáles son los grupos principales de controles en el Anexo A?
Políticas de seguridad de la información
Este primer grupo de controles, que incluye dos controles de un total de ciento catorce, establece las bases para la seguridad de la información. Se centra en cómo deben ser escritas y revisadas las políticas de seguridad, y es el primer paso para implementar un sistema de gestión de seguridad de la información.
Organización de seguridad de la información
Con siete controles, este grupo abarca la asignación de responsabilidades dentro de la organización. Define quién será el líder y las funciones específicas relacionadas con la gestión de seguridad. También aborda el uso y seguridad de dispositivos móviles y temas de teletrabajo debido a que estos representan riesgos potenciales.
Seguridad de los recursos humanos
Este grupo incluye seis controles y se enfoca en las fases de contratación y desvinculación de empleados. Considera estudios de seguridad pre-empleo, el control de sistemas de acceso durante el empleo, y las medidas a tomar cuando un empleado deja la organización.
¿Qué otras áreas cubre el Anexo A?
Gestión de activos
La gestión de activos es crucial. Consiste en mantener un inventario detallado de activos físicos y asegurar su correcto uso. Además, incluye la clasificación de activos de información en categorías como pública o confidencial, lo cual es vital para el sistema de gestión de seguridad.
Controles de acceso
Este grupo es fundamental para gestionar el ciclo de vida del acceso a los sistemas de información. Incluye la asignación de roles y perfiles de usuario, y monitorización continua para ajustar niveles de acceso según sea necesario.
Criptografía
Con dos controles, se asegura la confidencialidad en el intercambio de información con terceras partes. La criptografía es vital para mantener la integridad de la información compartida entre organizaciones.
Seguridad del entorno físico
Compuesto por quince controles, este grupo aborda cómo asegurar las instalaciones físicas de la empresa. Incluye restringir el acceso a áreas críticas como tesorería y servidores, implementar controles de acceso biométricos, y asegurar ordenadores portátiles con medidas físicas como guayas. Además, trata el descarte seguro de información y la práctica de mantener un escritorio y pantalla despejados para evitar fuga de información.
Recomendaciones prácticas para implementar controles
- Evaluar necesidades específicas de la organización antes de aplicar controles.
- Priorizar áreas críticas para la seguridad de la información, como entornos de trabajo remotos y gestión de dispositivos móviles.
- Capacitar a los empleados sobre la importancia del bloqueo de equipos y la gestión de información confidencial.
- Realizar auditorías regulares para ajustar controles de acceso y asegurar que se mantengan adecuados al contexto actual de la organización.
El éxito en la implementación del Anexo A radica en su capacidad de adaptarse a las necesidades específicas de cada organización, proporcionando una estructura robusta y flexible para la gestión de la seguridad de la información.
Aportes 34
Preguntas 2
Ordenar por:
El anexo A de la ISO 27001 contiene una lista de 114 controles de seguridad de la información de buenas prácticas. Deberá considerar cada uno de estos controles al formular su plan de tratamiento de riesgos.
La descripción de la mayoría de los controles es bastante vaga, por lo que se recomienda que revise la ISO 27002, que contiene más información sobre su implementación.
Para cada uno de los 114 controles debe registrar:
-
Si es aplicable a sus actividades, procesos y riesgos de
seguridad de la información. -
Si lo has implementado o no.
-
Si lo ha considerado no aplicable, su justificación para
hacerlo. -
Para la mayoría de las organizaciones, los 114 controles
serán aplicables, y es probable que ya hayan implementado
algunos de ellos
.
Introducción al Anexo A
Provee una herramienta esencial para la gestión de la seguridad, una lista de los controles de seguridad que pueden ser usados para mejorar la SI en una organización.
- Detalles Anexo A
- #1
- GRUPO: Políticas de seguridad de la información.
- DESCRIPCIÓN: Controles acerca de cómo deben ser escritas y revisadas las políticas.
- CONTROLES: 2.
- #2
- GRUPO: Organización de la seguridad de la información.
- DESCRIPCIÓN: Controles acerca de cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.
- CONTROLES: 7.
- #3
- GRUPO: Seguridad de los Recursos Humanos.
- DESCRIPCIÓN: Controles antes, durante y después de emplear.
- CONTROLES: 6.
- #4
- GRUPO: Gestión de activos.
- DESCRIPCIÓN: Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento.
- CONTROLES: 10.
- #5
- GRUPO: Control de acceso.
- DESCRIPCIÓN: Controles para las políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.
- CONTROLES: 14.
- #6
- GRUPO: Criptografía.
- DESCRIPCIÓN: Controles relacionados con la gestión de encriptación y claves.
- CONTROLES: 2.
- #7
- GRUPO: Seguridad física y del entorno.
- DESCRIPCIÓN: Controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc.
- CONTROLES: 15.
- #1
Qué pasa hoy en día con el concepto que muchas empresas estan optando para minimzar costos BYOD (Bring Your Own Devices). Cómo esto genera un impacto en la concienciación de los funcionarios.
Y hablando del departamento de desarrollo, ¿como se maneja el riesgo ahora en home office si todos se tuvieron que descargar el código a sus equipos personales?
Si quiero empezar a implementar algunos puntos de esta norma,¿ por donde debo empezar?, ¿que es lo primero ?. En la empresa para la que trabajo me han solicitado algunos puntos de esta norma, pero ha sido difícil porque solo se ha limitado a contestar una encuesta y ya,pero realmente no hay conciencia de la seguridad de la información, piensan que es solo no perder datos y ya.
Es una lista de 117 controles de seguridad que pueden ser usados en una organizacion para mejorar la Seguridad de la Informacion.
.
Ya que son vistas como buenas practicas y se adaptan a lo que la organizacion necesita.
.
Como auditores de la ISO, debemos:
.
-Registrar si estos controles, son aplicables a sus actividades, procesos y riesgos de seguridad de la información.
.
-Registrar si lo has implementado o no.
.
-Registrar si lo ha considerado no aplicable y su justificación para
hacerlo.
.
-Para la mayoría de las organizaciones, los 114 controles
serán aplicables, y es probable que ya hayan implementado
algunos de ellos.
Este catalogo nos describe los controles del anexo A que debemos tener en cuenta y tomaremos los necesarios, el detalle de los controles se vera adelante.
| # | Grupo | Descripción | Ctrl |
|---|---|---|---|
| 1. | Políticas de seguridad de la información | Controles acerca de cómo deben ser escritas y revisadas las políticas | 2 |
| 2. | Organización de la seguridad de la información | Controles acerca de cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo | 7 |
| 3. | Seguridad de los Recursos Humanos | Controles antes, durante y después de emplear | 6 |
| 4. | Gestión de activos | Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento | 10 |
| 5. | Control de acceso | Controles para las políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario | 14 |
| 6. | Criptografía | Controles relacionados con la gestión de encriptación y claves | 2 |
| 7. | Seguridad física y del entorno | Controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc. | 15 |
Se dona pero primero se debe realizar un borrado completo del disco de los pc 😃
Soy Yo o Con el teletrabajo que se disparo por culpa de la pandemia, este Grupo 2 es el que mas se debió implementar durante este 2020 y 21 muchas empresas ni se les ocurrió implementarlo, solo les importaba que los colaboradores se conecten desde sus casas y punto.
Accede a este link, para ver los apuntes de las clases anteriores
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso
Considerando lo establecido en el Grupo 4, ¿el “inventario de activos de la información” del SGSI debe contener los mismos elementos que gestiona el departamento de TI? (por ejemplo, si tengo un sistema que funciona con 4 instancias de bases de datos en producción, ¿debería considerar cada una de esas instancias como un activo dentro del inventario o también puedo hacer una abstracción en el inventario de activos de la información, incorporándolo sólo como un activo denominado “Base de datos del sistema X”?
Saludos, me gusta mucho el tema de la SI y los beneficios que trae tanto para las organizaciones como a nivel personal... Quien de pronto tiene información de la nueva revisión de la norma "ISO / IEC 27001:2022" He escuchado que han cambiado algunos aspectos empezando que ya no sería 114 controles sino 93 controles creo.
Les agradezco demasiado que la puedan compartir ¡Feliz día!
Estructura ISO 27001:2022
La nueva estructura refleja la estructura de normas como ISO 9000, ISO 20000 y la ISO 22301.
Cuenta con 93 controles en 4 dominios:
1\. Organizacional (37 controles)
2\. Personas (8 controles)
3\. Físico (14 controles)
4\. Tecnológico (34 controles)
Se agregaron 11 nuevos controles:
1\. Inteligencia de amenazas.
2\. Seguridad de la información en la nube.
3\. Continuidad del negocio.
4\. Seguridad física y su supervisión.
5\. Configuración.
6\. Eliminación de la información.
7\. Encriptación de datos.
8\. Seguimiento y monitoreo.
9\. Filtrado web.
10\. Codificación segura.
Hola a todos, alguien conoce de una herramienta opensource que pueda ayudarme con el tema del borrado de discos a bajo nivel, en la empresa comúnmente pasa eso, los equipos descartados van para la fundación que se encarga de donarlos a escuelas, jefaturas de policía y otros lugares donde les pueden dar segunda vida.
ANEXO A *
GRUPO #1: Políticas de Seguridad de la Información (2)
Cómo deben ser escritas y revisadas las políticas.
GRUPO #2: Organización de la seguridad de la información. (7)
Cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.
GRUPO #3: Seguridad de los Recursos Humanos (6)
Para antes, durante y después de emplear
GRUPO #4: Gestión de activos (10)
Lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento.
GRUPO #5: Control de acceso (14)
Políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.
GRUPO #6: Criptografía (2)
Gestión de encriptados y claves
GRUPO #7: Seguridad física y del entorno (15)
Áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantallas despejadas, etc.
ESPECTACULAR.
Me esta encantando este curso!
Anexo A
"Es un catalogo compuesto por 114 controles donde podremos encontrar algunos elementos que podamos aplicar en nuestra organización "
un pdf para impri-mir la info, Gracias…
No me quedo muy claro lo que se debe hacer para asegurar las laptops?
Dentro del Grupo 2, la norma señala el concepto de “dispositivos móviles” ¿Dentro de los activos de información que pueden ser considerados como “dispositivos móviles” se encuentran notebooks, discos duros externos, dispositivos USB, etc.?
Wow no me imaginaba que pudieran haber tanto procesos de seguridad dentro de una empresa.
Excelente clase, muy emocionado de continuar con el aprendizaje.
Sigamos
Ahora Gracias a la Pandemia El tele trabajo se disparo y se adelanto 10 años pero no así la preparación de las empresas para implementarlo, y a esto le sumamos que la mayoría trabaja remoto desde su casa con sus equipos personales, la posibilidad de una intrucion a los sistemas se dispara a las nubes, Es el momento de hablarle a las empresas de la ISO27001
Anexo A: Es el mas representativo ya que provee una lista de los controles de seguridad que puede ser usados.
Donde encuentro el Anexo A
Grupos Anexo A: Políticas de seguridad de la información, Organización de la seguridad de la información, Seguridad de los Recursos Humanos, Gestión de activos, Control de acceso, Criptografía, Seguridad física y del entorno.
-introduccion al Anexo A,(ISO 270001)
Es un catalogo de controles en los que vas a poder encontrar una serie de elementos o una lista que puedes ir seleccionando para que puedes ir catalogando cual de ellos sirve mas dentro de tu compañia. No todos los controles que estan definidos aplican para la organizacion, depende del tamaño y el alcanze de tu sistema de gestion de seguridad.
El anexo A provee la herramienta esencial, por que cubre una serie elementos fundamentales dentro de cualquier compañia, de gestion de seguridad de la informacion y te da la posibilidad de que adaptes el que necesites.
GRUPO
1- politicas de seguridad de la informacion
⦁ controles acerca de como deben ser escritas y revisadas las politicas.
⦁ CTRL: 2
2- Organizacion de la seguridad de la informacion
⦁ controles acerca de como se asignan las responsabilidades tambien incluyen los controles para los dispositicos moviles y el teletrabajo.
⦁ CTRL: 7
3- Seguridad de los recursos humanos
⦁ controles antes, durante y despues de emplear.
⦁ CTRL: 6
4- Gestion de activos
⦁ Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable. Tambien la clasificacion de la informacion y la gestioon de los medios de almacenamiento.
⦁ CTRL: 10
5- Control de acceso
⦁ Controles para las politicas de control de acceso, gestion de acceso de los usuarios, control de acceso para el sistema y las aplicaciones y responsabilidades del usuario.
⦁ CTRL: 14
6- Criptografia
⦁ controles relacionados con la gestion de encripcion y claves.
⦁ CTRL: 2
7- Seguridad fisica y del entorno
⦁ controles que definen areas seguras, controles de entrada, proteccion contra amenazas, seguridad de equipos, descarte seguros, politicas de escritorio y pantalla despejadas,etc.
⦁ CTRL: 15
El anexo A es muy importante conocer y saber el manejo de este.
Que controles se debe implementar para la información que los funcionarios manejan y los mismos se van de baja de la organización, con el objetivo que ellos no se lleven la información de la organización?
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?