Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Reg铆strate

Comienza en:

3D
2H
36M
19S

Introducci贸n al anexo A

9/39
Recursos

Aportes 29

Preguntas 2

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

El anexo A de la ISO 27001 contiene una lista de 114 controles de seguridad de la informaci贸n de buenas pr谩cticas. Deber谩 considerar cada uno de estos controles al formular su plan de tratamiento de riesgos.
La descripci贸n de la mayor铆a de los controles es bastante vaga, por lo que se recomienda que revise la ISO 27002, que contiene m谩s informaci贸n sobre su implementaci贸n.

Para cada uno de los 114 controles debe registrar:

  • Si es aplicable a sus actividades, procesos y riesgos de
    seguridad de la informaci贸n.

  • Si lo has implementado o no.

  • Si lo ha considerado no aplicable, su justificaci贸n para
    hacerlo.

  • Para la mayor铆a de las organizaciones, los 114 controles
    ser谩n aplicables, y es probable que ya hayan implementado
    algunos de ellos

.

Introducci贸n al Anexo A
Provee una herramienta esencial para la gesti贸n de la seguridad, una lista de los controles de seguridad que pueden ser usados para mejorar la SI en una organizaci贸n.

  • Detalles Anexo A
    • #1
      • GRUPO: Pol铆ticas de seguridad de la informaci贸n.
      • DESCRIPCI脫N: Controles acerca de c贸mo deben ser escritas y revisadas las pol铆ticas.
      • CONTROLES: 2.
    • #2
      • GRUPO: Organizaci贸n de la seguridad de la informaci贸n.
      • DESCRIPCI脫N: Controles acerca de c贸mo se asignan las responsabilidades; tambi茅n incluye los controles para los dispositivos m贸viles y el teletrabajo.
      • CONTROLES: 7.
    • #3
      • GRUPO: Seguridad de los Recursos Humanos.
      • DESCRIPCI脫N: Controles antes, durante y despu茅s de emplear.
      • CONTROLES: 6.
    • #4
      • GRUPO: Gesti贸n de activos.
      • DESCRIPCI脫N: Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, tambi茅n la clasificaci贸n de la informaci贸n y la gesti贸n de los medios de almacenamiento.
      • CONTROLES: 10.
    • #5
      • GRUPO: Control de acceso.
      • DESCRIPCI脫N: Controles para las pol铆ticas de control de acceso, gesti贸n de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.
      • CONTROLES: 14.
    • #6
      • GRUPO: Criptograf铆a.
      • DESCRIPCI脫N: Controles relacionados con la gesti贸n de encriptaci贸n y claves.
      • CONTROLES: 2.
    • #7
      • GRUPO: Seguridad f铆sica y del entorno.
      • DESCRIPCI脫N: Controles que definen 谩reas seguras, controles de entrada, protecci贸n contra amenazas, seguridad de equipos, descarte seguro, pol铆ticas de escritorio y pantalla despejadas, etc.
      • CONTROLES: 15.

Qu茅 pasa hoy en d铆a con el concepto que muchas empresas estan optando para minimzar costos BYOD (Bring Your Own Devices). C贸mo esto genera un impacto en la concienciaci贸n de los funcionarios.

Y hablando del departamento de desarrollo, 驴como se maneja el riesgo ahora en home office si todos se tuvieron que descargar el c贸digo a sus equipos personales?

Si quiero empezar a implementar algunos puntos de esta norma,驴 por donde debo empezar?, 驴que es lo primero ?. En la empresa para la que trabajo me han solicitado algunos puntos de esta norma, pero ha sido dif铆cil porque solo se ha limitado a contestar una encuesta y ya,pero realmente no hay conciencia de la seguridad de la informaci贸n, piensan que es solo no perder datos y ya.

Se dona pero primero se debe realizar un borrado completo del disco de los pc 馃槂

Soy Yo o Con el teletrabajo que se disparo por culpa de la pandemia, este Grupo 2 es el que mas se debi贸 implementar durante este 2020 y 21 muchas empresas ni se les ocurri贸 implementarlo, solo les importaba que los colaboradores se conecten desde sus casas y punto.

Accede a este link, para ver los apuntes de las clases anteriores
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Es una lista de 117 controles de seguridad que pueden ser usados en una organizacion para mejorar la Seguridad de la Informacion.
.
Ya que son vistas como buenas practicas y se adaptan a lo que la organizacion necesita.
.
Como auditores de la ISO, debemos:
.
-Registrar si estos controles, son aplicables a sus actividades, procesos y riesgos de seguridad de la informaci贸n.
.
-Registrar si lo has implementado o no.
.
-Registrar si lo ha considerado no aplicable y su justificaci贸n para
hacerlo.
.
-Para la mayor铆a de las organizaciones, los 114 controles
ser谩n aplicables, y es probable que ya hayan implementado
algunos de ellos.

Considerando lo establecido en el Grupo 4, 驴el 鈥渋nventario de activos de la informaci贸n鈥 del SGSI debe contener los mismos elementos que gestiona el departamento de TI? (por ejemplo, si tengo un sistema que funciona con 4 instancias de bases de datos en producci贸n, 驴deber铆a considerar cada una de esas instancias como un activo dentro del inventario o tambi茅n puedo hacer una abstracci贸n en el inventario de activos de la informaci贸n, incorpor谩ndolo s贸lo como un activo denominado 鈥淏ase de datos del sistema X鈥?

Me esta encantando este curso!

Anexo A

"Es un catalogo compuesto por 114 controles donde podremos encontrar algunos elementos que podamos aplicar en nuestra organizaci贸n "

Este catalogo nos describe los controles del anexo A que debemos tener en cuenta y tomaremos los necesarios, el detalle de los controles se vera adelante.

# Grupo Descripci贸n Ctrl
1. Pol铆ticas de seguridad de la informaci贸n Controles acerca de c贸mo deben ser escritas y revisadas las pol铆ticas 2
2. Organizaci贸n de la seguridad de la informaci贸n Controles acerca de c贸mo se asignan las responsabilidades; tambi茅n incluye los controles para los dispositivos m贸viles y el teletrabajo 7
3. Seguridad de los Recursos Humanos Controles antes, durante y despu茅s de emplear 6
4. Gesti贸n de activos Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, tambi茅n la clasificaci贸n de la informaci贸n y la gesti贸n de los medios de almacenamiento 10
5. Control de acceso Controles para las pol铆ticas de control de acceso, gesti贸n de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario 14
6. Criptograf铆a Controles relacionados con la gesti贸n de encriptaci贸n y claves 2
7. Seguridad f铆sica y del entorno Controles que definen 谩reas seguras, controles de entrada, protecci贸n contra amenazas, seguridad de equipos, descarte seguro, pol铆ticas de escritorio y pantalla despejadas, etc. 15

un pdf para impri-mir la info, Gracias鈥

No me quedo muy claro lo que se debe hacer para asegurar las laptops?

Dentro del Grupo 2, la norma se帽ala el concepto de 鈥渄ispositivos m贸viles鈥 驴Dentro de los activos de informaci贸n que pueden ser considerados como 鈥渄ispositivos m贸viles鈥 se encuentran notebooks, discos duros externos, dispositivos USB, etc.?

Wow no me imaginaba que pudieran haber tanto procesos de seguridad dentro de una empresa.
Excelente clase, muy emocionado de continuar con el aprendizaje.
Sigamos

Ahora Gracias a la Pandemia El tele trabajo se disparo y se adelanto 10 a帽os pero no as铆 la preparaci贸n de las empresas para implementarlo, y a esto le sumamos que la mayor铆a trabaja remoto desde su casa con sus equipos personales, la posibilidad de una intrucion a los sistemas se dispara a las nubes, Es el momento de hablarle a las empresas de la ISO27001

Anexo A: Es el mas representativo ya que provee una lista de los controles de seguridad que puede ser usados.

Donde encuentro el Anexo A

Grupos Anexo A: Pol铆ticas de seguridad de la informaci贸n, Organizaci贸n de la seguridad de la informaci贸n, Seguridad de los Recursos Humanos, Gesti贸n de activos, Control de acceso, Criptograf铆a, Seguridad f铆sica y del entorno.

-introduccion al Anexo A,(ISO 270001)
Es un catalogo de controles en los que vas a poder encontrar una serie de elementos o una lista que puedes ir seleccionando para que puedes ir catalogando cual de ellos sirve mas dentro de tu compa帽ia. No todos los controles que estan definidos aplican para la organizacion, depende del tama帽o y el alcanze de tu sistema de gestion de seguridad.

El anexo A provee la herramienta esencial, por que cubre una serie elementos fundamentales dentro de cualquier compa帽ia, de gestion de seguridad de la informacion y te da la posibilidad de que adaptes el que necesites.

GRUPO

1- politicas de seguridad de la informacion

猞 controles acerca de como deben ser escritas y revisadas las politicas.
猞 CTRL: 2

2- Organizacion de la seguridad de la informacion

猞 controles acerca de como se asignan las responsabilidades tambien incluyen los controles para los dispositicos moviles y el teletrabajo.
猞 CTRL: 7

3- Seguridad de los recursos humanos

猞 controles antes, durante y despues de emplear.
猞 CTRL: 6

4- Gestion de activos

猞 Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable. Tambien la clasificacion de la informacion y la gestioon de los medios de almacenamiento.
猞 CTRL: 10

5- Control de acceso

猞 Controles para las politicas de control de acceso, gestion de acceso de los usuarios, control de acceso para el sistema y las aplicaciones y responsabilidades del usuario.
猞 CTRL: 14

6- Criptografia

猞 controles relacionados con la gestion de encripcion y claves.
猞 CTRL: 2

7- Seguridad fisica y del entorno

猞 controles que definen areas seguras, controles de entrada, proteccion contra amenazas, seguridad de equipos, descarte seguros, politicas de escritorio y pantalla despejadas,etc.
猞 CTRL: 15

El anexo A es muy importante conocer y saber el manejo de este.

Que controles se debe implementar para la informaci贸n que los funcionarios manejan y los mismos se van de baja de la organizaci贸n, con el objetivo que ellos no se lleven la informaci贸n de la organizaci贸n?