Faltó mencionar que los controles 4 a 10 son “mandatorios”, es decir, de obligatorio cumplimiento para poder obtener la certificación.
Introducción a la norma ISO 27001
Qué aprenderás sobre la norma ISO 27001
Historia de la norma ISO27001
Principios generales de la seguridad de la información
El Sistema de Gestión de Seguridad de la Información
Contenido de la norma
Términos y definiciones
¿En qué consiste la ISO27001?
Liderazgo y planificación
Soporte, operación, evaluación y mejora
Introducción al anexo A
Últimos elementos del anexo A
Gestión de Riesgos
Clasificación de los activos de información
Inventario de activos de información
Laboratorio: construyendo una matriz de activos de información
Finalizar la revisión de la matriz de activos de información
Niveles de riesgo
Tratamiento de riesgo
Los controles
Laboratorio: construyendo una matriz de riesgos
Revisión de los controles y mapa de calor de la matriz de riesgos
Las tres líneas de defensa
ISO 27001: declaración de aplicabilidad
Controles de seguridad: Políticas y controles de acceso
Política de seguridad de la información y gestión de activos
Controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Seguridad física y del entorno, de las operaciones y las comunicaciones
Seguridad de las operaciones
Seguridad de las comunicaciones
Controles de seguridad: Sistemas de información
Requisitos de seguridad en sistemas de información
Laboratorio: aplicar una lista de verificación
Relación con proveedores
Cumplimiento
Auditoría
¿Qué es auditoría?
Términos de la auditoría
Fases de una auditoría
Resultados de la auditoría
Laboratorio: realizar el reporte de algunas no conformidades
Gestión de la Continuidad del Negocio
BCP, BIA, RTO y RPO
Laboratorio: construyendo un BCP para un solo proceso
Cierre del curso
Simulacro del examen de certificación para Auditor Interno ISO 27001
Conclusiones y cierre del curso
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
No se trata de lo que quieres comprar, sino de quién quieres ser. Aprovecha el precio especial.
Antes: $249
Paga en 4 cuotas sin intereses
Termina en:
Aportes 65
Preguntas 3
Faltó mencionar que los controles 4 a 10 son “mandatorios”, es decir, de obligatorio cumplimiento para poder obtener la certificación.
Composición del Anexo A
Si buscan un detalle de los 114 controles, aquí pueden ver un ejemplo:
https://iso27001security.com/ISO27k_ISMS_and_controls_status_with_SoA_and_gaps_Spanish.xlsx
Se añadieron los grupos mandatorios para la ISO27001 y se corrigió el numero de controles con respecto al grupo de “Seguridad de operaciones” y resultara la suma == 114.
Source: https://www.isms.online/iso-27001/requirements-controls/
Mi empresa se encuentra certificada con Iso 27001 y todo marcha en consecucion a ello
.
Últimos elementos del Anexo A
Detalles Anexo A
Lo mas dificil es que las empresas:
Generalmente somos los hombres orquestas de la compañia y el tiempo para estas cosas es reducido
Como apenas estoy iniciando mi propio negocio, el primer grupo me ayudara a estructurar el orden de mi organización y no tendré futuros stress y jaloneos para que mis empleados de adapten a una nueva forma de trabajar.
“La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se señalan en el Anexo A, los que apliquen en su compañía.”
Dejan Kosutic
Especialista líder en ISO 27001
Muy buena la clase.
Creo que comenzaria en el orden en que estan descritos estos controles, ya que al no tener mucha experiencia en la aplicacion de estos controles debo ir desarrollandolos uno a uno, siempre y cuando vea que se pueden aplicar a la organizacion donde me desempeñe.
Si existe otra manera de implementarlos me gustaria que el profesor me diera su opinion. Gracias
Hola, ¿por que la suma de los controles da 115 en lugar de 114?
Grupo 1 2
Grupo 2 7
Grupo 3 6
Grupo 4 10
Grupo 5 14
Grupo 6 2
Grupo 7 15
Grupo 8 15
Grupo 9 7
Grupo 10 13
Grupo 11 5
Grupo 12 7
Grupo 13 4
Grupo 14 8
TOTAL 115
Iniciaría por los siguientes controles:
El control más difícil sería:
Hola, yo considero que donde trabajo entrarían 10 de los 14 puntos mencionados:
Considero que los mas complejos de implementar son Controles de acceso (14) ya que depende de muchas areas, y los cambios de procesos que ellos lleven, si no se alinea a las demás área a definir perfiles de puestos correctos y que pueden y no pueden hacer, es muy difícil, controlar los permisos.
Lo mismo que Seguridad de los recursos humanos (6) se tiene que tener una buena comunicación con Gestión de talento para que el procesos se lleve acorde lo establecido.
en mi empresa falta :
-seguridad de las operaciones (da igual se està linux , però creo que se tiene que hacer a veces)
-controles que definen los requirimientos de seguridad
Pues definitivamente arrancaria por las copias de seguridad, probarlas cada x tiempo deacuerdo a la evaluacion, y por supuesto tener minimo 3 copias una automatica interna, otra automatica externa y una tercera manual Externa
el de RRHH - antes durante y despues… ese despues… uffs. ni Cisco ni Tesla… todos llevan tremendas demandas a exempleados por patentes 😃 - que nombrar otros como Microsoft y un largo etc.
Ahora con el. “boom” de trabajo remoto, el tema de controlar la información en los computadores. Ya que no se pueden asegurar la puesto de trabajo, mucha gente inclusive trabaja en los personales. La ISO no contempla estas situaciones
El grupo de control más fácil de implementar sería “Políticas de Seguridad de la Información”. Por ahí empezaría.
Tomando las palabras de Dejan Kosutic,
_ “La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se señalan en el Anexo A, los que apliquen en su compañía.”_
En mi lugar de trabajo empezaría por aplicar los siguientes controles:
El control más difícil a aplicar sería:
Comparto Nueva Versión ISO 27001:2022 Cambios en el Anexo A. https://ingertec.com/nueva-version-iso-27001-2022/
Hola, recientemente se agregaron nuevos controles a la ISO:27001, aca les dejo la nota: https://mobilizaacademy.com/iso-27001-2022-publicada-nuevos-controles/
Por las características del Core Business que maneja la empresa para que laboro iniciaría con el control No. 14 “Cumplimiento”, dado que la normativa legal es el fundamento de nuestros servicios.
los grupos con mayor dificultad en mi opinión serían los que tienen una relación con los proveedores donde se requiere que una persona haga un control interno y pueda validar y certificar que los productos y servicios adquiridos son acorde a las necesidades de la compañía
ya que requiere llevara cabo todo el proceso de un nuevo proyecto y su integración al SI a la vez que se mitigan posibles vulnerabilidades, la planeación y metodologías para prevenir incidentes con los nuevos proyectos tecnológicos de la compañía y todas sus partes.
para iniciar definitivamente los dos primeros grupos son esenciales políticas y organización para estructurar adecuadamente el desarrollo del SGSI
11 Relacion con proveedores
esta para la empresa en la que me encuentro seria la mas complicada por la forma de trabajar del proveedor que es el desarrollador del sistema que se utiliza en el dia a dia y se le han dado permisos excesivos para hacer casi lo que quiera en los servidores de produccion
El grupo que mas difícil de implementar para mi sera el numero 13 y el 7.
El 13 por que en cierta medida no entiendo muy bien a que se refiere ese grupo y el numero 7 por que la mayoría de los usuarios no tienen esa cultura de seguridad y cuando se les quiere capacitar hasta se enojan y piensan que es una perdida de tiempo
Buenas noches,yo creería que dependiendo del tamaño de la compañía, el control de gestión de activos sería uno de los mas difíciles de implementar ó el de cumplimiento
Primero, empezaría por darle orden a mi compañía, donde se identifique la estructura general de esta para así poder ir especificando cada procedimiento o cada área según lo que necesite.
Apuntes de esta clase y las anteriores en este link de trello!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso
De que esta compuesto el anexo A?
.
El anexo A esta compuesto de varios elementos
.
Yo no trabajo en ninguna empresa pero creo que lo mas complejo seria cumplir como debe ser a las normas y politicas, ya que es complicado ser disciplinado
Lo mas complejo es que empresas que manejan personal antiguo, sobretodo secretarias, que llevan 10 o mas años en sus puestos. No ven la necesidad de realizar ciertos cambios como lo es una politica de contraseña mas segura o la de escritorio y pantalla limpia. Esto aumenta el nivel de complejidad al momento de implementar ciertos controles de la norma
Hola para opinar sobre cuál es el grupo más difícil de implantar en cada organización, y retomando la frase de Dejan Kosutic, el grupo más difícil de implementar será justo donde el contexto de tu compañía te lo indique. En el caso de la compañía en la que laboro por una renovación de tecnología que compromete la operación y a pesar de que ya se cuenta con la certificación ISO 27001, podría pensar en que los grupos 10, 13, y 14 serán complejos (para empezar) sin embargo seguramente se tocaran gradualmente todos los grupos. Justo este curso es de las herramientas que tomo para integrarme al equipo de SGSI.
grupo 8
grupo 9
Estos anexos se deben de implementar bajo un modelo de seguimiento y de verificacion.
la creacion de vlan para cada uno de los sectores de la empresa
De acuerdo a la criticidad ciudadana de la empresa en la trabajo, aplicaría de cajón el #08 Seguridad de las Operaciones, es algo en que estamos avanzando pero necesitamos aplicar el ciclo SGSI, en especial la auditoria interna y la mejora continua.
Para la implementación del SGSI iniciaría con el grupo 1 relacionado con las políticas de seguridad de la información porque permite establecer los pilares del sistema de gestión. Considero que los controles mas difíciles de implementar son, el grupo 5 y grupo 7 (Control de acceso y Seguridad física y del entorno, respectivamente)
Excelente clase y exelso los comentarios de los compañeros que enriquece lo aprendio.
Me causa algo de confusión lo expuesto sobre el grupo 14 y su inclusión en la versión 2013 de la 27001. Tengo en mi poder la versión 2005, allí aparece como el Grupo 15 Cumplimiento “asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.” ¿Por que se habla de inclusión en la versión 2013 si ya existía en la 2005? @atovarg
En mi caso considero que mi empresa tendría problemas para la gestión de la continuidad del negocio, de hecho fue la cuarentena la que evidenció este problema.
Creo que mas allá de obtener la certificación , es toda una guía de buenas prácticas, alguna vez pensé en cómo le iba a hacer para pensar en las posibilidades que se pueden presentar en cuanto a procesos de TI ,y pues nada con esta norma se puede conocer y pues horra un montón de tiempo
Como dice Alex, creo que de acuerdo a tipo de empresa se va realizando un fltro con respecto al tipo de controles a implementar
En la empresa donde trabajo, no tenemos esta certificaciòn pero he tenido oportunidad de estar implementando lo que respecta a “Seguridad de las operaciones” en cuanto a lo que son los respaldos, minimizar las vulnerabilidades y el control del software antivirus. También el inventario de equipos y de licencias de software que posee la empresa. Me parece interesante este curso porque aunque no estamos optando a la certificación, esta es una guía para mejorar nuestra labor e implementar mas controles para la protección de la información.
Yo creeria que en mi organizacion aunque en un nivel bajo estaria fallando la gestion de activos no se si es algo comun en las organizaciones pues en la mayoria en las que he trabajado este ha sido un problema enorme
En algunas compañias, asumo que sería Seguridad fisica y del entorno, ya que aun existen compañias que toman a la ligera la seguridad de la información y no invierten en estas medidas o las consideran exageradas.
La empresa donde trabaje no implementaba medidas como el Control de Acceso, no había de por medio filtrados de aplicaciones y el tema de los accesos como las contraseñas eran vulnerables.
pues si la empresa de mi papa, yo fuera el encargado yo creo que lo mas dificil seria la implementacion, del grupo 7 y 8 xd
La familia de normas sobre continuidad del negocio es la ISO 22301.
Considero que la gestión de la continuidad del negocio sería un aspecto difícil de solucionar en mi organización, debido a la falta de liderazgo y compromiso por parte del los altos mandos.
Yo creo que uno de los controles donde voy a tener mayor dificultad es con la 10° Adquisición, desarrollo y mantenimiento de los sistemas de información, debido a que las prestaciones ya se encuentran bajo lineamientos de contrato, no sé la figura exacta para modificar algunas cláusulas del contrato o si simplemente ya no se puede.
Yo necesito implementar para Seguridad física y del entorno. ya que se me planteo una problematica sobre el acceso al site de la empresa, también incluire el control de acceso.
Como emprendedor pienso que el grupo mas difícil de implementar es el número 10 - Adquisición, desarrollo y mantenimiento de Sistemas, esto dada la veloz evolución que es característica de este tipo de sistemas tecnológicos con ciclos de vida cada vez más cortos.
Muchos de los controles que se requieren a nivel de la norma son de sensibilización y mejoramiento de las practicas. Según la norma los que tienen mayor dificultad son los que tienen que ver con la implementación de temas tecnológicos y acceso, lo anterior teniendo en cuenta las inversiones que se deben realizar.
Al inicio de cualquier proyecto puede ser un poco abrumador esta cantidad de detalles a cumplir.
Sin embargo, la mejora constante toma una posición imprescindible en todos los proyectos (tanto en pequeñas, medianas y grandes empresas.)
Increíble clase, a seguir aprendiendo
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?