Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

No se trata de lo que quieres comprar, sino de quién quieres ser. Aprovecha el precio especial.

Antes: $249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

14 Días
12 Hrs
55 Min
50 Seg

Introducción al anexo A

9/39
Recursos

Aportes 34

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

El anexo A de la ISO 27001 contiene una lista de 114 controles de seguridad de la información de buenas prácticas. Deberá considerar cada uno de estos controles al formular su plan de tratamiento de riesgos.
La descripción de la mayoría de los controles es bastante vaga, por lo que se recomienda que revise la ISO 27002, que contiene más información sobre su implementación.

Para cada uno de los 114 controles debe registrar:

  • Si es aplicable a sus actividades, procesos y riesgos de
    seguridad de la información.

  • Si lo has implementado o no.

  • Si lo ha considerado no aplicable, su justificación para
    hacerlo.

  • Para la mayoría de las organizaciones, los 114 controles
    serán aplicables, y es probable que ya hayan implementado
    algunos de ellos

.

Introducción al Anexo A
Provee una herramienta esencial para la gestión de la seguridad, una lista de los controles de seguridad que pueden ser usados para mejorar la SI en una organización.

  • Detalles Anexo A
    • #1
      • GRUPO: Políticas de seguridad de la información.
      • DESCRIPCIÓN: Controles acerca de cómo deben ser escritas y revisadas las políticas.
      • CONTROLES: 2.
    • #2
      • GRUPO: Organización de la seguridad de la información.
      • DESCRIPCIÓN: Controles acerca de cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.
      • CONTROLES: 7.
    • #3
      • GRUPO: Seguridad de los Recursos Humanos.
      • DESCRIPCIÓN: Controles antes, durante y después de emplear.
      • CONTROLES: 6.
    • #4
      • GRUPO: Gestión de activos.
      • DESCRIPCIÓN: Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento.
      • CONTROLES: 10.
    • #5
      • GRUPO: Control de acceso.
      • DESCRIPCIÓN: Controles para las políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.
      • CONTROLES: 14.
    • #6
      • GRUPO: Criptografía.
      • DESCRIPCIÓN: Controles relacionados con la gestión de encriptación y claves.
      • CONTROLES: 2.
    • #7
      • GRUPO: Seguridad física y del entorno.
      • DESCRIPCIÓN: Controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc.
      • CONTROLES: 15.

Qué pasa hoy en día con el concepto que muchas empresas estan optando para minimzar costos BYOD (Bring Your Own Devices). Cómo esto genera un impacto en la concienciación de los funcionarios.

Y hablando del departamento de desarrollo, ¿como se maneja el riesgo ahora en home office si todos se tuvieron que descargar el código a sus equipos personales?

Si quiero empezar a implementar algunos puntos de esta norma,¿ por donde debo empezar?, ¿que es lo primero ?. En la empresa para la que trabajo me han solicitado algunos puntos de esta norma, pero ha sido difícil porque solo se ha limitado a contestar una encuesta y ya,pero realmente no hay conciencia de la seguridad de la información, piensan que es solo no perder datos y ya.

Es una lista de 117 controles de seguridad que pueden ser usados en una organizacion para mejorar la Seguridad de la Informacion.
.
Ya que son vistas como buenas practicas y se adaptan a lo que la organizacion necesita.
.
Como auditores de la ISO, debemos:
.
-Registrar si estos controles, son aplicables a sus actividades, procesos y riesgos de seguridad de la información.
.
-Registrar si lo has implementado o no.
.
-Registrar si lo ha considerado no aplicable y su justificación para
hacerlo.
.
-Para la mayoría de las organizaciones, los 114 controles
serán aplicables, y es probable que ya hayan implementado
algunos de ellos.

Este catalogo nos describe los controles del anexo A que debemos tener en cuenta y tomaremos los necesarios, el detalle de los controles se vera adelante.

# Grupo Descripción Ctrl
1. Políticas de seguridad de la información Controles acerca de cómo deben ser escritas y revisadas las políticas 2
2. Organización de la seguridad de la información Controles acerca de cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo 7
3. Seguridad de los Recursos Humanos Controles antes, durante y después de emplear 6
4. Gestión de activos Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento 10
5. Control de acceso Controles para las políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario 14
6. Criptografía Controles relacionados con la gestión de encriptación y claves 2
7. Seguridad física y del entorno Controles que definen áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantalla despejadas, etc. 15

Se dona pero primero se debe realizar un borrado completo del disco de los pc 😃

Soy Yo o Con el teletrabajo que se disparo por culpa de la pandemia, este Grupo 2 es el que mas se debió implementar durante este 2020 y 21 muchas empresas ni se les ocurrió implementarlo, solo les importaba que los colaboradores se conecten desde sus casas y punto.

Accede a este link, para ver los apuntes de las clases anteriores
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Considerando lo establecido en el Grupo 4, ¿el “inventario de activos de la información” del SGSI debe contener los mismos elementos que gestiona el departamento de TI? (por ejemplo, si tengo un sistema que funciona con 4 instancias de bases de datos en producción, ¿debería considerar cada una de esas instancias como un activo dentro del inventario o también puedo hacer una abstracción en el inventario de activos de la información, incorporándolo sólo como un activo denominado “Base de datos del sistema X”?

Saludos, me gusta mucho el tema de la SI y los beneficios que trae tanto para las organizaciones como a nivel personal... Quien de pronto tiene información de la nueva revisión de la norma "ISO / IEC 27001:2022" He escuchado que han cambiado algunos aspectos empezando que ya no sería 114 controles sino 93 controles creo. Les agradezco demasiado que la puedan compartir ¡Feliz día!
Estructura ISO 27001:2022 La nueva estructura refleja la estructura de normas como ISO 9000, ISO 20000 y la ISO 22301. Cuenta con 93 controles en 4 dominios: 1\. Organizacional (37 controles) 2\. Personas (8 controles) 3\. Físico (14 controles) 4\. Tecnológico (34 controles) Se agregaron 11 nuevos controles: 1\. Inteligencia de amenazas. 2\. Seguridad de la información en la nube. 3\. Continuidad del negocio. 4\. Seguridad física y su supervisión. 5\. Configuración. 6\. Eliminación de la información. 7\. Encriptación de datos. 8\. Seguimiento y monitoreo. 9\. Filtrado web. 10\. Codificación segura.
Hola a todos, alguien conoce de una herramienta opensource que pueda ayudarme con el tema del borrado de discos a bajo nivel, en la empresa comúnmente pasa eso, los equipos descartados van para la fundación que se encarga de donarlos a escuelas, jefaturas de policía y otros lugares donde les pueden dar segunda vida.

ANEXO A *


GRUPO #1: Políticas de Seguridad de la Información (2)
Cómo deben ser escritas y revisadas las políticas.

GRUPO #2: Organización de la seguridad de la información. (7)
Cómo se asignan las responsabilidades; también incluye los controles para los dispositivos móviles y el teletrabajo.

GRUPO #3: Seguridad de los Recursos Humanos (6)
Para antes, durante y después de emplear

GRUPO #4: Gestión de activos (10)
Lo relacionado con el inventario de recursos y su uso aceptable, también la clasificación de la información y la gestión de los medios de almacenamiento.

GRUPO #5: Control de acceso (14)
Políticas de control de acceso, gestión de acceso de los usuarios, control de acceso para el sistema y las aplicaciones, y responsabilidades del usuario.

GRUPO #6: Criptografía (2)
Gestión de encriptados y claves

GRUPO #7: Seguridad física y del entorno (15)
Áreas seguras, controles de entrada, protección contra amenazas, seguridad de equipos, descarte seguro, políticas de escritorio y pantallas despejadas, etc.

ESPECTACULAR.

Me esta encantando este curso!

Anexo A

"Es un catalogo compuesto por 114 controles donde podremos encontrar algunos elementos que podamos aplicar en nuestra organización "

un pdf para impri-mir la info, Gracias…

No me quedo muy claro lo que se debe hacer para asegurar las laptops?

Dentro del Grupo 2, la norma señala el concepto de “dispositivos móviles” ¿Dentro de los activos de información que pueden ser considerados como “dispositivos móviles” se encuentran notebooks, discos duros externos, dispositivos USB, etc.?

Wow no me imaginaba que pudieran haber tanto procesos de seguridad dentro de una empresa.
Excelente clase, muy emocionado de continuar con el aprendizaje.
Sigamos

Ahora Gracias a la Pandemia El tele trabajo se disparo y se adelanto 10 años pero no así la preparación de las empresas para implementarlo, y a esto le sumamos que la mayoría trabaja remoto desde su casa con sus equipos personales, la posibilidad de una intrucion a los sistemas se dispara a las nubes, Es el momento de hablarle a las empresas de la ISO27001

Anexo A: Es el mas representativo ya que provee una lista de los controles de seguridad que puede ser usados.

Donde encuentro el Anexo A

Grupos Anexo A: Políticas de seguridad de la información, Organización de la seguridad de la información, Seguridad de los Recursos Humanos, Gestión de activos, Control de acceso, Criptografía, Seguridad física y del entorno.

-introduccion al Anexo A,(ISO 270001)
Es un catalogo de controles en los que vas a poder encontrar una serie de elementos o una lista que puedes ir seleccionando para que puedes ir catalogando cual de ellos sirve mas dentro de tu compañia. No todos los controles que estan definidos aplican para la organizacion, depende del tamaño y el alcanze de tu sistema de gestion de seguridad.

El anexo A provee la herramienta esencial, por que cubre una serie elementos fundamentales dentro de cualquier compañia, de gestion de seguridad de la informacion y te da la posibilidad de que adaptes el que necesites.

GRUPO

1- politicas de seguridad de la informacion

⦁ controles acerca de como deben ser escritas y revisadas las politicas.
⦁ CTRL: 2

2- Organizacion de la seguridad de la informacion

⦁ controles acerca de como se asignan las responsabilidades tambien incluyen los controles para los dispositicos moviles y el teletrabajo.
⦁ CTRL: 7

3- Seguridad de los recursos humanos

⦁ controles antes, durante y despues de emplear.
⦁ CTRL: 6

4- Gestion de activos

⦁ Controles acerca de lo relacionado con el inventario de recursos y su uso aceptable. Tambien la clasificacion de la informacion y la gestioon de los medios de almacenamiento.
⦁ CTRL: 10

5- Control de acceso

⦁ Controles para las politicas de control de acceso, gestion de acceso de los usuarios, control de acceso para el sistema y las aplicaciones y responsabilidades del usuario.
⦁ CTRL: 14

6- Criptografia

⦁ controles relacionados con la gestion de encripcion y claves.
⦁ CTRL: 2

7- Seguridad fisica y del entorno

⦁ controles que definen areas seguras, controles de entrada, proteccion contra amenazas, seguridad de equipos, descarte seguros, politicas de escritorio y pantalla despejadas,etc.
⦁ CTRL: 15

El anexo A es muy importante conocer y saber el manejo de este.

Que controles se debe implementar para la información que los funcionarios manejan y los mismos se van de baja de la organización, con el objetivo que ellos no se lleven la información de la organización?