Introducción al anexo A

El anexo A de la ISO 27001 contiene una lista de 114 controles de seguridad de la información de buenas prácticas. Deberá considerar cada uno de estos controles al formular su plan de tratamiento de riesgos.
La descripción de la mayoría de los controles es bastante vaga, por lo que se recomienda que revise la ISO 27002, que contiene más información sobre su implementación.

Para cada uno de los 114 controles debe registrar:

• Si es aplicable a sus actividades, procesos y riesgos de
  seguridad de la información.

• Si lo has implementado o no.

• Si lo ha considerado no aplicable, su justificación para
  hacerlo.

• Para la mayoría de las organizaciones, los 114 controles
  serán aplicables, y es probable que ya hayan implementado
  algunos de ellos

.

Introducción al Anexo A
Provee una herramienta esencial para la gestión de la seguridad, una lista de los controles de seguridad que pueden ser usados para mejorar la SI en una organización.

• Detalles Anexo A
  • #1
    • GRUPO: Políticas de seguridad de la información.
    • DESCRIPCIÓN: Controles acerca de cómo deben ser escritas y revisadas las políticas.
    • CONTROLES: 2.
  • #2
    • GRUPO: Organización de la seguridad de la información.
    • DESCRIPCIÓN: Controles acerca de cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.
    • CONTROLES: 7.
  • #3
    • GRUPO: Seguridad de los Recursos Humanos.
    • DESCRIPCIÓN: Controles antes, durante y después de emplear.
    • CONTROLES: 6.
  • #4
    • GRUPO: Gestión de activos.
    • DESCRIPCIÓN: Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento.
    • CONTROLES: 10.
  • #5
    • GRUPO: Control de acceso.
    • DESCRIPCIÓN: Controles para las políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.
    • CONTROLES: 14.
  • #6
    • GRUPO: Criptografía.
    • DESCRIPCIÓN: Controles relacionados con la gestión de encriptación y claves.
    • CONTROLES: 2.
  • #7
    • GRUPO: Seguridad física y del entorno.
    • DESCRIPCIÓN: Controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc.
    • CONTROLES: 15.

Qué pasa hoy en día con el concepto que muchas empresas estan optando para minimzar costos BYOD (Bring Your Own Devices). Cómo esto genera un impacto en la concienciación de los funcionarios.

Resumen del Anexo A - Norma ISO 27001:2013

Y hablando del departamento de desarrollo, ¿como se maneja el riesgo ahora en home office si todos se tuvieron que descargar el código a sus equipos personales?

Si quiero empezar a implementar algunos puntos de esta norma,¿ por donde debo empezar?, ¿que es lo primero ?. En la empresa para la que trabajo me han solicitado algunos puntos de esta norma, pero ha sido difícil porque solo se ha limitado a contestar una encuesta y ya,pero realmente no hay conciencia de la seguridad de la información, piensan que es solo no perder datos y ya.

Se dona pero primero se debe realizar un borrado completo del disco de los pc 😃

Soy Yo o Con el teletrabajo que se disparo por culpa de la pandemia, este Grupo 2 es el que mas se debió implementar durante este 2020 y 21 muchas empresas ni se les ocurrió implementarlo, solo les importaba que los colaboradores se conecten desde sus casas y punto.

Accede a este link, para ver los apuntes de las clases anteriores
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Es una lista de 117 controles de seguridad que pueden ser usados en una organizacion para mejorar la Seguridad de la Informacion.
.
Ya que son vistas como buenas practicas y se adaptan a lo que la organizacion necesita.
.
Como auditores de la ISO, debemos:
.
-Registrar si estos controles, son aplicables a sus actividades, procesos y riesgos de seguridad de la información.
.
-Registrar si lo has implementado o no.
.
-Registrar si lo ha considerado no aplicable y su justificación para
hacerlo.
.
-Para la mayoría de las organizaciones, los 114 controles
serán aplicables, y es probable que ya hayan implementado
algunos de ellos.

Considerando lo establecido en el Grupo 4, ¿el “inventario de activos de la información” del SGSI debe contener los mismos elementos que gestiona el departamento de TI? (por ejemplo, si tengo un sistema que funciona con 4 instancias de bases de datos en producción, ¿debería considerar cada una de esas instancias como un activo dentro del inventario o también puedo hacer una abstracción en el inventario de activos de la información, incorporándolo sólo como un activo denominado “Base de datos del sistema X”?

Me esta encantando este curso!

Anexo A

"Es un catalogo compuesto por 114 controles donde podremos encontrar algunos elementos que podamos aplicar en nuestra organización "

Este catalogo nos describe los controles del anexo A que debemos tener en cuenta y tomaremos los necesarios, el detalle de los controles se vera adelante.

un pdf para impri-mir la info, Gracias…

No me quedo muy claro lo que se debe hacer para asegurar las laptops?

Dentro del Grupo 2, la norma señala el concepto de “dispositivos móviles” ¿Dentro de los activos de información que pueden ser considerados como “dispositivos móviles” se encuentran notebooks, discos duros externos, dispositivos USB, etc.?

Wow no me imaginaba que pudieran haber tanto procesos de seguridad dentro de una empresa.
Excelente clase, muy emocionado de continuar con el aprendizaje.
Sigamos

Ahora Gracias a la Pandemia El tele trabajo se disparo y se adelanto 10 años pero no así la preparación de las empresas para implementarlo, y a esto le sumamos que la mayoría trabaja remoto desde su casa con sus equipos personales, la posibilidad de una intrucion a los sistemas se dispara a las nubes, Es el momento de hablarle a las empresas de la ISO27001

Anexo A: Es el mas representativo ya que provee una lista de los controles de seguridad que puede ser usados.

Donde encuentro el Anexo A

Grupos Anexo A: Políticas de seguridad de la información, Organización de la seguridad de la información, Seguridad de los Recursos Humanos, Gestión de activos, Control de acceso, Criptografía, Seguridad física y del entorno.

-introduccion al Anexo A,(ISO 270001)
Es un catalogo de controles en los que vas a poder encontrar una serie de elementos o una lista que puedes ir seleccionando para que puedes ir catalogando cual de ellos sirve mas dentro de tu compañia. No todos los controles que estan definidos aplican para la organizacion, depende del tamaño y el alcanze de tu sistema de gestion de seguridad.

El anexo A provee la herramienta esencial, por que cubre una serie elementos fundamentales dentro de cualquier compañia, de gestion de seguridad de la informacion y te da la posibilidad de que adaptes el que necesites.

GRUPO

1- politicas de seguridad de la informacion

⦁ controles acerca de como deben ser escritas y revisadas las politicas.
⦁ CTRL: 2

2- Organizacion de la seguridad de la informacion

⦁ controles acerca de como se asignan las responsabilidades tambien incluyen los controles para los dispositicos moviles y el teletrabajo.
⦁ CTRL: 7

3- Seguridad de los recursos humanos

⦁ controles antes, durante y despues de emplear.
⦁ CTRL: 6

4- Gestion de activos

⦁ Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable. Tambien la clasificacion de la informacion y la gestioon de los medios de almacenamiento.
⦁ CTRL: 10

5- Control de acceso

⦁ Controles para las politicas de control de acceso, gestion de acceso de los usuarios, control de acceso para el sistema y las aplicaciones y responsabilidades del usuario.
⦁ CTRL: 14

6- Criptografia

⦁ controles relacionados con la gestion de encripcion y claves.
⦁ CTRL: 2

7- Seguridad fisica y del entorno

⦁ controles que definen areas seguras, controles de entrada, proteccion contra amenazas, seguridad de equipos, descarte seguros, politicas de escritorio y pantalla despejadas,etc.
⦁ CTRL: 15

El anexo A es muy importante conocer y saber el manejo de este.

Que controles se debe implementar para la información que los funcionarios manejan y los mismos se van de baja de la organización, con el objetivo que ellos no se lleven la información de la organización?