Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Reg铆strate

Comienza en:

4D
0H
17M
45S

脷ltimos elementos del anexo A

10/39
Recursos

Aportes 56

Preguntas 3

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Falt贸 mencionar que los controles 4 a 10 son 鈥渕andatorios鈥, es decir, de obligatorio cumplimiento para poder obtener la certificaci贸n.

Composici贸n del Anexo A

  1. Pol铆ticas de Seguridad de la Informaci贸n: hace referencia a los controles sobre c贸mo escribir y revisar pol铆ticas de seguridad.
  2. Organizaci贸n de la Seguridad de la informaci贸n: los controles se encargan de establecer responsables. Al mismo tiempo tambi茅n se centra en dispositivos m贸viles y situaciones como la de teletrabajo.
  3. Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contrataci贸n y finalizaci贸n de contrato de personal.
  4. Gesti贸n de Recursos: establecidos para realizar inventario, clasificaci贸n de informaci贸n y manejo de los medios de almacenamiento.
  5. Control de Acceso: control del acceso tanto a la informaci贸n como a aplicaciones u otro medio que contenga informaci贸n.
  6. Criptograf铆a: controles para gestionar encriptaci贸n de informaci贸n.
  7. Seguridad f铆sica y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.
  8. Seguridad Operacional: controles relacionados con gesti贸n de la protecci贸n de malware o vulnerabilidades.
  9. Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisi贸n de informaci贸n, mensajer铆a鈥
  10. Adquisici贸n, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.
  11. Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.
  12. Gesti贸n de Incidentes en Seguridad de la Informaci贸n: sirven para reportar eventos las debilidades, as铆 como procedimientos de respuesta.
  13. Aspectos de Seguridad de la Informaci贸n de la Gesti贸n de la Continuidad del Negocio: referidos a la planificaci贸n de continuidad de negocio.
  14. Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la informaci贸n y hacer que se cumplan.

Si buscan un detalle de los 114 controles, aqu铆 pueden ver un ejemplo:

https://iso27001security.com/ISO27k_ISMS_and_controls_status_with_SoA_and_gaps_Spanish.xlsx

Se a帽adieron los grupos mandatorios para la ISO27001 y se corrigi贸 el numero de controles con respecto al grupo de 鈥淪eguridad de operaciones鈥 y resultara la suma == 114.
Source: https://www.isms.online/iso-27001/requirements-controls/

Mi empresa se encuentra certificada con Iso 27001 y todo marcha en consecucion a ello

.

脷ltimos elementos del Anexo A

Detalles Anexo A

  • #8
    • GRUPO: Seguridad de las operaciones.
    • DESCRIPCI脫N: Controles relacionados con la gesti贸n de la producci贸n en TI: gesti贸n de cambios, gesti贸n de capacidad, malware, respaldo, vulnerabilidades, etc.
    • CONTROLES: 15.
  • #9
    • GRUPO: Seguridad de las comunicaciones.
    • DESCRIPCI脫N: Controles relacionados con la seguridad de redes, segregaci贸n, servicios de redes, transferencia de informaci贸n, mensajer铆a, etc.
    • CONTROLES: 7.
  • #10
    • GRUPO: Adquisici贸n, desarrollo y mantenimiento de los sistemas de informaci贸n.
    • DESCRIPCI脫N: Controles que definen los requerimientos de seguridad y la seguridad en los procesos de desarrollo y soporte.
    • CONTROLES: 13.
  • #11
    • GRUPO: Relaci贸n con proveedores.
    • DESCRIPCI脫N: Controles acerca de qu茅 incluir en los contratos, y c贸mo hacer el seguimiento a los proveedores.
    • CONTROLES: 5.
  • #12
    • GRUPO: Gesti贸n de incidentes de seguridad de la informaci贸n.
    • DESCRIPCI脫N: Controles para reportar los eventos y debilidades, definir responsabilidades, procedimientos de respuesta, y recolecci贸n de evidencias.
    • CONTROLES: 7.
  • 13
    • GRUPO: Aspectos de seguridad de la informaci贸n para la gesti贸n de la continuidad de negocio.
    • DESCRIPCI脫N: Controles que requieren la planificaci贸n de la continuidad del negocio, procedimientos, verificaci贸n y revisi贸n, y redundancia de TI.
    • CONTROLES: 4.
  • #14
    • GRUPO: Cumplimiento.
    • DESCRIPCI脫N: Controles que requieren la identificaci贸n de las leyes y regulaciones aplicables, protecci贸n de la propiedad intelectual, protecci贸n de datos personales, y revisiones de la seguridad de la informaci贸n.
    • CONTROLES: 8.

Como apenas estoy iniciando mi propio negocio, el primer grupo me ayudara a estructurar el orden de mi organizaci贸n y no tendr茅 futuros stress y jaloneos para que mis empleados de adapten a una nueva forma de trabajar.

Lo mas dificil es que las empresas:

  1. Le den continuidad a los planes
  2. Asignen personal para esto

Generalmente somos los hombres orquestas de la compa帽ia y el tiempo para estas cosas es reducido

Muy buena la clase.
Creo que comenzaria en el orden en que estan descritos estos controles, ya que al no tener mucha experiencia en la aplicacion de estos controles debo ir desarrollandolos uno a uno, siempre y cuando vea que se pueden aplicar a la organizacion donde me desempe帽e.
Si existe otra manera de implementarlos me gustaria que el profesor me diera su opinion. Gracias

鈥淟a mejor manera de entender el Anexo A es pensar en 茅l como un cat谩logo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se se帽alan en el Anexo A, los que apliquen en su compa帽铆a.鈥

Dejan Kosutic
Especialista l铆der en ISO 27001

Hola, 驴por que la suma de los controles da 115 en lugar de 114?
Grupo 1 2
Grupo 2 7
Grupo 3 6
Grupo 4 10
Grupo 5 14
Grupo 6 2
Grupo 7 15
Grupo 8 15
Grupo 9 7
Grupo 10 13
Grupo 11 5
Grupo 12 7
Grupo 13 4
Grupo 14 8
TOTAL 115

Iniciar铆a por los siguientes controles:

  1. Creaci贸n de la pol铆tica de la seguridad de la informaci贸n.
  2. Realizar inventario de los activos de informaci贸n m谩s cr铆ticos de la organizaci贸n.

El control m谩s dif铆cil ser铆a:

  1. Lo relacionado al desarrollo de software seguro, ya que hay una poca cultura de seguridad en los programadores.
  2. Crear una cultura de seguridad de la informaci贸n en los usuarios.

Hola, yo considero que donde trabajo entrar铆an 10 de los 14 puntos mencionados:

  • Ctrl 2: Pol铆tica de la seguridad de la informaci贸n
  • Ctrl 4: Aspectos de seguridad de la informaci贸n para la gesti贸n de la continuidad de negocio
  • Ctrl 6: Seguridad de los recursos humanos
  • Ctrl 7:
    • Organizaci贸n de la seguridad de la informaci贸n
    • Gesti贸n de incidentes de seguridad de la informaci贸n
  • Ctrl 8: Cumplimiento
  • Ctrl 10: Gesti贸n de activos
  • Ctrl 13: Adquisici贸n, desarrollo y mantenimiento de los sistemas de informaci贸n
  • Ctrl 14: Controles de acceso
  • Ctrl 15: Seguridad de las operaciones

Considero que los mas complejos de implementar son Controles de acceso (14) ya que depende de muchas areas, y los cambios de procesos que ellos lleven, si no se alinea a las dem谩s 谩rea a definir perfiles de puestos correctos y que pueden y no pueden hacer, es muy dif铆cil, controlar los permisos.

Lo mismo que Seguridad de los recursos humanos (6) se tiene que tener una buena comunicaci贸n con Gesti贸n de talento para que el procesos se lleve acorde lo establecido.

en mi empresa falta :

-seguridad de las operaciones (da igual se est脿 linux , per貌 creo que se tiene que hacer a veces)
-controles que definen los requirimientos de seguridad

Pues definitivamente arrancaria por las copias de seguridad, probarlas cada x tiempo deacuerdo a la evaluacion, y por supuesto tener minimo 3 copias una automatica interna, otra automatica externa y una tercera manual Externa

el de RRHH - antes durante y despues鈥 ese despues鈥 uffs. ni Cisco ni Tesla鈥 todos llevan tremendas demandas a exempleados por patentes 馃槂 - que nombrar otros como Microsoft y un largo etc.

Tomando las palabras de Dejan Kosutic,
_ 鈥淟a mejor manera de entender el Anexo A es pensar en 茅l como un cat谩logo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se se帽alan en el Anexo A, los que apliquen en su compa帽铆a.鈥漘

En mi lugar de trabajo empezar铆a por aplicar los siguientes controles:

  1. Pol铆tica de la seguridad de la informaci贸n.
  2. Gesti贸n de activos

El control m谩s dif铆cil a aplicar ser铆a:

  1. Seguridad de las Operaciones
  2. Seguridad de las comunicaciones

Comparto Nueva Versi贸n ISO 27001:2022 Cambios en el Anexo A. https://ingertec.com/nueva-version-iso-27001-2022/

Hola, recientemente se agregaron nuevos controles a la ISO:27001, aca les dejo la nota: https://mobilizaacademy.com/iso-27001-2022-publicada-nuevos-controles/

Por las caracter铆sticas del Core Business que maneja la empresa para que laboro iniciar铆a con el control No. 14 鈥淐umplimiento鈥, dado que la normativa legal es el fundamento de nuestros servicios.

los grupos con mayor dificultad en mi opini贸n ser铆an los que tienen una relaci贸n con los proveedores donde se requiere que una persona haga un control interno y pueda validar y certificar que los productos y servicios adquiridos son acorde a las necesidades de la compa帽铆a

ya que requiere llevara cabo todo el proceso de un nuevo proyecto y su integraci贸n al SI a la vez que se mitigan posibles vulnerabilidades, la planeaci贸n y metodolog铆as para prevenir incidentes con los nuevos proyectos tecnol贸gicos de la compa帽铆a y todas sus partes.

para iniciar definitivamente los dos primeros grupos son esenciales pol铆ticas y organizaci贸n para estructurar adecuadamente el desarrollo del SGSI

11 Relacion con proveedores
esta para la empresa en la que me encuentro seria la mas complicada por la forma de trabajar del proveedor que es el desarrollador del sistema que se utiliza en el dia a dia y se le han dado permisos excesivos para hacer casi lo que quiera en los servidores de produccion

El grupo que mas dif铆cil de implementar para mi sera el numero 13 y el 7.

El 13 por que en cierta medida no entiendo muy bien a que se refiere ese grupo y el numero 7 por que la mayor铆a de los usuarios no tienen esa cultura de seguridad y cuando se les quiere capacitar hasta se enojan y piensan que es una perdida de tiempo

Buenas noches,yo creer铆a que dependiendo del tama帽o de la compa帽铆a, el control de gesti贸n de activos ser铆a uno de los mas dif铆ciles de implementar 贸 el de cumplimiento

Primero, empezar铆a por darle orden a mi compa帽铆a, donde se identifique la estructura general de esta para as铆 poder ir especificando cada procedimiento o cada 谩rea seg煤n lo que necesite.

Apuntes de esta clase y las anteriores en este link de trello!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

De que esta compuesto el anexo A?
.
El anexo A esta compuesto de varios elementos
.

  1. Pol铆ticas de Seguridad de la Informaci贸n: hace referencia a los controles sobre c贸mo escribir y revisar pol铆ticas de seguridad.
    .
  2. Organizaci贸n de la Seguridad de la informaci贸n: los controles se encargan de establecer responsables. Al mismo tiempo tambi茅n se centra en dispositivos m贸viles y situaciones como la de teletrabajo.
    .
  3. Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contrataci贸n y finalizaci贸n de contrato de personal.
    .
  4. Gesti贸n de Recursos: establecidos para realizar inventario, clasificaci贸n de informaci贸n y manejo de los medios de almacenamiento.
    .
  5. Control de Acceso: control del acceso tanto a la informaci贸n como a aplicaciones u otro medio que contenga informaci贸n.
    .
  6. Criptograf铆a: controles para gestionar encriptaci贸n de informaci贸n.
    .
  7. Seguridad f铆sica y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.
    .
  8. Seguridad Operacional: controles relacionados con gesti贸n de la protecci贸n de malware o vulnerabilidades.
    .
  9. Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisi贸n de informaci贸n, mensajer铆a.
    .
  10. Adquisici贸n, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.
    .
  11. Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.
    .
  12. Gesti贸n de Incidentes en Seguridad de la Informaci贸n: sirven para reportar eventos las debilidades, as铆 como procedimientos de respuesta.
    .
  13. Aspectos de Seguridad de la Informaci贸n de la Gesti贸n de la Continuidad del Negocio: referidos a la planificaci贸n de continuidad de negocio.
    .
    Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la informaci贸n y hacer que se cumplan.

Yo no trabajo en ninguna empresa pero creo que lo mas complejo seria cumplir como debe ser a las normas y politicas, ya que es complicado ser disciplinado

Lo mas complejo es que empresas que manejan personal antiguo, sobretodo secretarias, que llevan 10 o mas a帽os en sus puestos. No ven la necesidad de realizar ciertos cambios como lo es una politica de contrase帽a mas segura o la de escritorio y pantalla limpia. Esto aumenta el nivel de complejidad al momento de implementar ciertos controles de la norma

Hola para opinar sobre cu谩l es el grupo m谩s dif铆cil de implantar en cada organizaci贸n, y retomando la frase de Dejan Kosutic, el grupo m谩s dif铆cil de implementar ser谩 justo donde el contexto de tu compa帽铆a te lo indique. En el caso de la compa帽铆a en la que laboro por una renovaci贸n de tecnolog铆a que compromete la operaci贸n y a pesar de que ya se cuenta con la certificaci贸n ISO 27001, podr铆a pensar en que los grupos 10, 13, y 14 ser谩n complejos (para empezar) sin embargo seguramente se tocaran gradualmente todos los grupos. Justo este curso es de las herramientas que tomo para integrarme al equipo de SGSI.

grupo 8

grupo 9

En cuanto a la recolecci贸n de activos de la informaci贸n lo m谩s dif铆cil es que la o las personas due帽as de ese activo puedan dedicar tiempo a proveer informaci贸n en detalle.
Cordial saludo, yo implementar铆a en primer lugar el control relativo al cumplimiento normativo de la legislaci贸n aplicable a determinada organizaci贸n, desarrollando en primer lugar pol铆ticas de tratamiento de la Informaci贸n, y aviso de privacidad.

Estos anexos se deben de implementar bajo un modelo de seguimiento y de verificacion.

la creacion de vlan para cada uno de los sectores de la empresa

De acuerdo a la criticidad ciudadana de la empresa en la trabajo, aplicar铆a de caj贸n el #08 Seguridad de las Operaciones, es algo en que estamos avanzando pero necesitamos aplicar el ciclo SGSI, en especial la auditoria interna y la mejora continua.

Para la implementaci贸n del SGSI iniciar铆a con el grupo 1 relacionado con las pol铆ticas de seguridad de la informaci贸n porque permite establecer los pilares del sistema de gesti贸n. Considero que los controles mas dif铆ciles de implementar son, el grupo 5 y grupo 7 (Control de acceso y Seguridad f铆sica y del entorno, respectivamente)

Excelente clase y exelso los comentarios de los compa帽eros que enriquece lo aprendio.

Me causa algo de confusi贸n lo expuesto sobre el grupo 14 y su inclusi贸n en la versi贸n 2013 de la 27001. Tengo en mi poder la versi贸n 2005, all铆 aparece como el Grupo 15 Cumplimiento 鈥渁segurar que los sistemas cumplen con las normas y pol铆ticas de seguridad de la organizaci贸n.鈥 驴Por que se habla de inclusi贸n en la versi贸n 2013 si ya exist铆a en la 2005? @atovarg

En mi caso considero que mi empresa tendr铆a problemas para la gesti贸n de la continuidad del negocio, de hecho fue la cuarentena la que evidenci贸 este problema.

Creo que mas all谩 de obtener la certificaci贸n , es toda una gu铆a de buenas pr谩cticas, alguna vez pens茅 en c贸mo le iba a hacer para pensar en las posibilidades que se pueden presentar en cuanto a procesos de TI ,y pues nada con esta norma se puede conocer y pues horra un mont贸n de tiempo

Como dice Alex, creo que de acuerdo a tipo de empresa se va realizando un fltro con respecto al tipo de controles a implementar

En la empresa donde trabajo, no tenemos esta certificaci貌n pero he tenido oportunidad de estar implementando lo que respecta a 鈥淪eguridad de las operaciones鈥 en cuanto a lo que son los respaldos, minimizar las vulnerabilidades y el control del software antivirus. Tambi茅n el inventario de equipos y de licencias de software que posee la empresa. Me parece interesante este curso porque aunque no estamos optando a la certificaci贸n, esta es una gu铆a para mejorar nuestra labor e implementar mas controles para la protecci贸n de la informaci贸n.

Yo creeria que en mi organizacion aunque en un nivel bajo estaria fallando la gestion de activos no se si es algo comun en las organizaciones pues en la mayoria en las que he trabajado este ha sido un problema enorme

En algunas compa帽ias, asumo que ser铆a Seguridad fisica y del entorno, ya que aun existen compa帽ias que toman a la ligera la seguridad de la informaci贸n y no invierten en estas medidas o las consideran exageradas.

La empresa donde trabaje no implementaba medidas como el Control de Acceso, no hab铆a de por medio filtrados de aplicaciones y el tema de los accesos como las contrase帽as eran vulnerables.

pues si la empresa de mi papa, yo fuera el encargado yo creo que lo mas dificil seria la implementacion, del grupo 7 y 8 xd

La familia de normas sobre continuidad del negocio es la ISO 22301.

Desde m铆 punto de visto siempre he visto un poco complicado la gesti贸n de la capacidad, tiende a ser un poco "impredecible" quiz谩s no sea la palabra correcta, pero siempre surge factores que a veces no tomamos en cuenta.

Considero que la gesti贸n de la continuidad del negocio ser铆a un aspecto dif铆cil de solucionar en mi organizaci贸n, debido a la falta de liderazgo y compromiso por parte del los altos mandos.

Yo creo que uno de los controles donde voy a tener mayor dificultad es con la 10掳 Adquisici贸n, desarrollo y mantenimiento de los sistemas de informaci贸n, debido a que las prestaciones ya se encuentran bajo lineamientos de contrato, no s茅 la figura exacta para modificar algunas cl谩usulas del contrato o si simplemente ya no se puede.

Yo necesito implementar para Seguridad f铆sica y del entorno. ya que se me planteo una problematica sobre el acceso al site de la empresa, tambi茅n incluire el control de acceso.

Como emprendedor pienso que el grupo mas dif铆cil de implementar es el n煤mero 10 - Adquisici贸n, desarrollo y mantenimiento de Sistemas, esto dada la veloz evoluci贸n que es caracter铆stica de este tipo de sistemas tecnol贸gicos con ciclos de vida cada vez m谩s cortos.

Muchos de los controles que se requieren a nivel de la norma son de sensibilizaci贸n y mejoramiento de las practicas. Seg煤n la norma los que tienen mayor dificultad son los que tienen que ver con la implementaci贸n de temas tecnol贸gicos y acceso, lo anterior teniendo en cuenta las inversiones que se deben realizar.

Al inicio de cualquier proyecto puede ser un poco abrumador esta cantidad de detalles a cumplir.
Sin embargo, la mejora constante toma una posici贸n imprescindible en todos los proyectos (tanto en peque帽as, medianas y grandes empresas.)
Incre铆ble clase, a seguir aprendiendo