Faltó mencionar que los controles 4 a 10 son “mandatorios”, es decir, de obligatorio cumplimiento para poder obtener la certificación.
Introducción a la norma ISO 27001
Preparación para Auditoría Interna ISO 27001
Historia y Evolución de la Norma ISO 27001 hasta 2019
Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad
Sistema de Gestión de Seguridad según la Norma ISO 27001
Contenido de la norma
Terminología clave de la norma ISO 27001
Norma ISO 27001: Gestión de Seguridad de la Información
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
Implementación de la Norma ISO 27001: Recursos y Competencias
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
Gestión de Riesgos
Gestión de Riesgos y Clasificación de Activos de Información
Clasificación de Activos de Información en Excel
Creación de Plantilla de Gestión de Activos de Información en Excel
Clasificación de Activos de Información en Excel
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
Controles para Mitigar Riesgos según ISO 27001
Construcción de Matriz de Riesgos para Gestión Empresarial
Gestión de Controles en Matrices de Riesgos en Excel
Modelo de Tres Líneas de Defensa en Seguridad de la Información
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
Controles de seguridad: Políticas y controles de acceso
Controles de Seguridad en la Gestión de la Información ISO 27001
Controles de Acceso y Criptografía en ISO 27001
Controles de seguridad: Operaciones y Comunicaciones
Controles de Seguridad Física y del Entorno en ISO 27001
Seguridad de las Operaciones según ISO 27001
Seguridad de las Comunicaciones en Redes Empresariales
Controles de seguridad: Sistemas de información
Controles de Seguridad en el Desarrollo de Software bajo ISO 27001
Seguridad en el Desarrollo de Software según OWASP Top 10
Gestión de Proveedores e Incidentes de Seguridad en ISO 27001
Controles de Continuidad y Cumplimiento en Seguridad de la Información
Auditoría
Auditoría de Sistemas de Seguridad según ISO 27001
Terminología de Auditoría según ISO 27001
Fases de una Auditoría: Paso a Paso para su Ejecución
Auditoría ISO 27001: Identificación y Reporte de No Conformidades
Reporte de No Conformidades en Auditoría ISO 27001
Gestión de la Continuidad del Negocio
Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001
Construcción de un Plan de Continuidad de Negocio
Cierre del curso
Examen Simulacro de ISO 27001: Seguridad de la Información
Certificación y Feedback en ISO 27001: Próximos Pasos
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
El Anexo A de la norma ISO 27001 es una guía indispensable para implementar un Sistema de Gestión de Seguridad de la Información (SGSI). El grupo de controles de seguridad de las operaciones, que consta de quince recomendaciones, es crucial para garantizar que las operaciones de TI funcionen de manera segura y eficiente. Estos controles tratan temas como la segregación de ambientes para gestión de cambios, la capacidad de gestión de la infraestructura y la protección contra malware, entre otros.
Uno de los aspectos clave en la seguridad de las operaciones es gestionar la capacidad de la infraestructura tecnológica. La norma ISO 27001 recomienda monitorizar continuamente los recursos para anticiparse a los picos de demanda, evitando así interrupciones en las operaciones debido a la falta de disponibilidad del sistema.
El control de respaldos es vital para asegurar la disponibilidad de la información crítica para el negocio. La ISO 27001 sugiere establecer una política clara de backups, que incluya la periodicidad y pruebas de restauración para verificar su eficacia.
La relación con los proveedores es un aspecto fundamental al implementar un SGSI. La norma dedica un grupo específico de controles para gestionar esta relación, que no se limita únicamente a servicios tecnológicos.
Según el Anexo A, deben definirse claramente los acuerdos de nivel de servicio y las pólizas de cumplimiento con terceros. La externalización de servicios no exime a la organización de asegurar que los controles adecuados se apliquen.
La continuidad del negocio es un aspecto crucial que interactúa directamente con la seguridad de la información. Se deben desarrollar estrategias para mantener la operatividad durante crisis o interrupciones tecnológicas.
El Anexo A detalla cuatro controles fundamentales para garantizar la continuidad del negocio. Estas estrategias aseguran que la organización continúe operando mientras el equipo de TI resuelve cualquier problema.
Finalmente, la ISO 27001 enfatiza la importancia de adaptar y personalizar estos controles según el tamaño y las necesidades específicas de la organización. Implementando estos controles de manera efectiva, se apoya no solo en la seguridad de la información, sino también en el alcance de los objetivos empresariales.
Aportes 67
Preguntas 3
Faltó mencionar que los controles 4 a 10 son “mandatorios”, es decir, de obligatorio cumplimiento para poder obtener la certificación.
Composición del Anexo A
Si buscan un detalle de los 114 controles, aquí pueden ver un ejemplo:
https://iso27001security.com/ISO27k_ISMS_and_controls_status_with_SoA_and_gaps_Spanish.xlsx
Se añadieron los grupos mandatorios para la ISO27001 y se corrigió el numero de controles con respecto al grupo de “Seguridad de operaciones” y resultara la suma == 114.
Source: https://www.isms.online/iso-27001/requirements-controls/
Mi empresa se encuentra certificada con Iso 27001 y todo marcha en consecucion a ello
.
Últimos elementos del Anexo A
Detalles Anexo A
Lo mas dificil es que las empresas:
Generalmente somos los hombres orquestas de la compañia y el tiempo para estas cosas es reducido
Como apenas estoy iniciando mi propio negocio, el primer grupo me ayudara a estructurar el orden de mi organización y no tendré futuros stress y jaloneos para que mis empleados de adapten a una nueva forma de trabajar.
“La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se señalan en el Anexo A, los que apliquen en su compañía.”
Dejan Kosutic
Especialista líder en ISO 27001
Muy buena la clase.
Creo que comenzaria en el orden en que estan descritos estos controles, ya que al no tener mucha experiencia en la aplicacion de estos controles debo ir desarrollandolos uno a uno, siempre y cuando vea que se pueden aplicar a la organizacion donde me desempeñe.
Si existe otra manera de implementarlos me gustaria que el profesor me diera su opinion. Gracias
Hola, ¿por que la suma de los controles da 115 en lugar de 114?
Grupo 1 2
Grupo 2 7
Grupo 3 6
Grupo 4 10
Grupo 5 14
Grupo 6 2
Grupo 7 15
Grupo 8 15
Grupo 9 7
Grupo 10 13
Grupo 11 5
Grupo 12 7
Grupo 13 4
Grupo 14 8
TOTAL 115
Iniciaría por los siguientes controles:
El control más difícil sería:
Hola, yo considero que donde trabajo entrarían 10 de los 14 puntos mencionados:
Considero que los mas complejos de implementar son Controles de acceso (14) ya que depende de muchas areas, y los cambios de procesos que ellos lleven, si no se alinea a las demás área a definir perfiles de puestos correctos y que pueden y no pueden hacer, es muy difícil, controlar los permisos.
Lo mismo que Seguridad de los recursos humanos (6) se tiene que tener una buena comunicación con Gestión de talento para que el procesos se lleve acorde lo establecido.
en mi empresa falta :
-seguridad de las operaciones (da igual se està linux , però creo que se tiene que hacer a veces)
-controles que definen los requirimientos de seguridad
Pues definitivamente arrancaria por las copias de seguridad, probarlas cada x tiempo deacuerdo a la evaluacion, y por supuesto tener minimo 3 copias una automatica interna, otra automatica externa y una tercera manual Externa
el de RRHH - antes durante y despues… ese despues… uffs. ni Cisco ni Tesla… todos llevan tremendas demandas a exempleados por patentes 😃 - que nombrar otros como Microsoft y un largo etc.
Ahora con el. “boom” de trabajo remoto, el tema de controlar la información en los computadores. Ya que no se pueden asegurar la puesto de trabajo, mucha gente inclusive trabaja en los personales. La ISO no contempla estas situaciones
El grupo de control más fácil de implementar sería “Políticas de Seguridad de la Información”. Por ahí empezaría.
Tomando las palabras de Dejan Kosutic,
_ “La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se señalan en el Anexo A, los que apliquen en su compañía.”_
En mi lugar de trabajo empezaría por aplicar los siguientes controles:
El control más difícil a aplicar sería:
Comparto Nueva Versión ISO 27001:2022 Cambios en el Anexo A. https://ingertec.com/nueva-version-iso-27001-2022/
Hola, recientemente se agregaron nuevos controles a la ISO:27001, aca les dejo la nota: https://mobilizaacademy.com/iso-27001-2022-publicada-nuevos-controles/
Por las características del Core Business que maneja la empresa para que laboro iniciaría con el control No. 14 “Cumplimiento”, dado que la normativa legal es el fundamento de nuestros servicios.
los grupos con mayor dificultad en mi opinión serían los que tienen una relación con los proveedores donde se requiere que una persona haga un control interno y pueda validar y certificar que los productos y servicios adquiridos son acorde a las necesidades de la compañía
ya que requiere llevara cabo todo el proceso de un nuevo proyecto y su integración al SI a la vez que se mitigan posibles vulnerabilidades, la planeación y metodologías para prevenir incidentes con los nuevos proyectos tecnológicos de la compañía y todas sus partes.
para iniciar definitivamente los dos primeros grupos son esenciales políticas y organización para estructurar adecuadamente el desarrollo del SGSI
11 Relacion con proveedores
esta para la empresa en la que me encuentro seria la mas complicada por la forma de trabajar del proveedor que es el desarrollador del sistema que se utiliza en el dia a dia y se le han dado permisos excesivos para hacer casi lo que quiera en los servidores de produccion
El grupo que mas difícil de implementar para mi sera el numero 13 y el 7.
El 13 por que en cierta medida no entiendo muy bien a que se refiere ese grupo y el numero 7 por que la mayoría de los usuarios no tienen esa cultura de seguridad y cuando se les quiere capacitar hasta se enojan y piensan que es una perdida de tiempo
Buenas noches,yo creería que dependiendo del tamaño de la compañía, el control de gestión de activos sería uno de los mas difíciles de implementar ó el de cumplimiento
Primero, empezaría por darle orden a mi compañía, donde se identifique la estructura general de esta para así poder ir especificando cada procedimiento o cada área según lo que necesite.
Apuntes de esta clase y las anteriores en este link de trello!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso
De que esta compuesto el anexo A?
.
El anexo A esta compuesto de varios elementos
.
Yo no trabajo en ninguna empresa pero creo que lo mas complejo seria cumplir como debe ser a las normas y politicas, ya que es complicado ser disciplinado
Lo mas complejo es que empresas que manejan personal antiguo, sobretodo secretarias, que llevan 10 o mas años en sus puestos. No ven la necesidad de realizar ciertos cambios como lo es una politica de contraseña mas segura o la de escritorio y pantalla limpia. Esto aumenta el nivel de complejidad al momento de implementar ciertos controles de la norma
Hola para opinar sobre cuál es el grupo más difícil de implantar en cada organización, y retomando la frase de Dejan Kosutic, el grupo más difícil de implementar será justo donde el contexto de tu compañía te lo indique. En el caso de la compañía en la que laboro por una renovación de tecnología que compromete la operación y a pesar de que ya se cuenta con la certificación ISO 27001, podría pensar en que los grupos 10, 13, y 14 serán complejos (para empezar) sin embargo seguramente se tocaran gradualmente todos los grupos. Justo este curso es de las herramientas que tomo para integrarme al equipo de SGSI.
grupo 8
grupo 9
Estos anexos se deben de implementar bajo un modelo de seguimiento y de verificacion.
la creacion de vlan para cada uno de los sectores de la empresa
De acuerdo a la criticidad ciudadana de la empresa en la trabajo, aplicaría de cajón el #08 Seguridad de las Operaciones, es algo en que estamos avanzando pero necesitamos aplicar el ciclo SGSI, en especial la auditoria interna y la mejora continua.
Para la implementación del SGSI iniciaría con el grupo 1 relacionado con las políticas de seguridad de la información porque permite establecer los pilares del sistema de gestión. Considero que los controles mas difíciles de implementar son, el grupo 5 y grupo 7 (Control de acceso y Seguridad física y del entorno, respectivamente)
Excelente clase y exelso los comentarios de los compañeros que enriquece lo aprendio.
Me causa algo de confusión lo expuesto sobre el grupo 14 y su inclusión en la versión 2013 de la 27001. Tengo en mi poder la versión 2005, allí aparece como el Grupo 15 Cumplimiento “asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.” ¿Por que se habla de inclusión en la versión 2013 si ya existía en la 2005? @atovarg
En mi caso considero que mi empresa tendría problemas para la gestión de la continuidad del negocio, de hecho fue la cuarentena la que evidenció este problema.
Creo que mas allá de obtener la certificación , es toda una guía de buenas prácticas, alguna vez pensé en cómo le iba a hacer para pensar en las posibilidades que se pueden presentar en cuanto a procesos de TI ,y pues nada con esta norma se puede conocer y pues horra un montón de tiempo
Como dice Alex, creo que de acuerdo a tipo de empresa se va realizando un fltro con respecto al tipo de controles a implementar
En la empresa donde trabajo, no tenemos esta certificaciòn pero he tenido oportunidad de estar implementando lo que respecta a “Seguridad de las operaciones” en cuanto a lo que son los respaldos, minimizar las vulnerabilidades y el control del software antivirus. También el inventario de equipos y de licencias de software que posee la empresa. Me parece interesante este curso porque aunque no estamos optando a la certificación, esta es una guía para mejorar nuestra labor e implementar mas controles para la protección de la información.
Yo creeria que en mi organizacion aunque en un nivel bajo estaria fallando la gestion de activos no se si es algo comun en las organizaciones pues en la mayoria en las que he trabajado este ha sido un problema enorme
En algunas compañias, asumo que sería Seguridad fisica y del entorno, ya que aun existen compañias que toman a la ligera la seguridad de la información y no invierten en estas medidas o las consideran exageradas.
La empresa donde trabaje no implementaba medidas como el Control de Acceso, no había de por medio filtrados de aplicaciones y el tema de los accesos como las contraseñas eran vulnerables.
pues si la empresa de mi papa, yo fuera el encargado yo creo que lo mas dificil seria la implementacion, del grupo 7 y 8 xd
La familia de normas sobre continuidad del negocio es la ISO 22301.
Considero que la gestión de la continuidad del negocio sería un aspecto difícil de solucionar en mi organización, debido a la falta de liderazgo y compromiso por parte del los altos mandos.
Yo creo que uno de los controles donde voy a tener mayor dificultad es con la 10° Adquisición, desarrollo y mantenimiento de los sistemas de información, debido a que las prestaciones ya se encuentran bajo lineamientos de contrato, no sé la figura exacta para modificar algunas cláusulas del contrato o si simplemente ya no se puede.
Yo necesito implementar para Seguridad física y del entorno. ya que se me planteo una problematica sobre el acceso al site de la empresa, también incluire el control de acceso.
Como emprendedor pienso que el grupo mas difícil de implementar es el número 10 - Adquisición, desarrollo y mantenimiento de Sistemas, esto dada la veloz evolución que es característica de este tipo de sistemas tecnológicos con ciclos de vida cada vez más cortos.
Muchos de los controles que se requieren a nivel de la norma son de sensibilización y mejoramiento de las practicas. Según la norma los que tienen mayor dificultad son los que tienen que ver con la implementación de temas tecnológicos y acceso, lo anterior teniendo en cuenta las inversiones que se deben realizar.
Al inicio de cualquier proyecto puede ser un poco abrumador esta cantidad de detalles a cumplir.
Sin embargo, la mejora constante toma una posición imprescindible en todos los proyectos (tanto en pequeñas, medianas y grandes empresas.)
Increíble clase, a seguir aprendiendo
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?