Faltó mencionar que los controles 4 a 10 son “mandatorios”, es decir, de obligatorio cumplimiento para poder obtener la certificación.
Introducción a la norma ISO 27001
Preparación para Auditoría Interna ISO 27001
Historia y Evolución de la Norma ISO 27001 hasta 2019
Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad
Sistema de Gestión de Seguridad según la Norma ISO 27001
Contenido de la norma
Terminología clave de la norma ISO 27001
Norma ISO 27001: Gestión de Seguridad de la Información
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
Implementación de la Norma ISO 27001: Recursos y Competencias
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
Gestión de Riesgos
Gestión de Riesgos y Clasificación de Activos de Información
Clasificación de Activos de Información en Excel
Creación de Plantilla de Gestión de Activos de Información en Excel
Clasificación de Activos de Información en Excel
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
Controles para Mitigar Riesgos según ISO 27001
Construcción de Matriz de Riesgos para Gestión Empresarial
Gestión de Controles en Matrices de Riesgos en Excel
Modelo de Tres Líneas de Defensa en Seguridad de la Información
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
Controles de seguridad: Políticas y controles de acceso
Controles de Seguridad en la Gestión de la Información ISO 27001
Controles de Acceso y Criptografía en ISO 27001
Controles de seguridad: Operaciones y Comunicaciones
Controles de Seguridad Física y del Entorno en ISO 27001
Seguridad de las Operaciones según ISO 27001
Seguridad de las Comunicaciones en Redes Empresariales
Controles de seguridad: Sistemas de información
Controles de Seguridad en el Desarrollo de Software bajo ISO 27001
Seguridad en el Desarrollo de Software según OWASP Top 10
Gestión de Proveedores e Incidentes de Seguridad en ISO 27001
Controles de Continuidad y Cumplimiento en Seguridad de la Información
Auditoría
Auditoría de Sistemas de Seguridad según ISO 27001
Terminología de Auditoría según ISO 27001
Fases de una Auditoría: Paso a Paso para su Ejecución
Auditoría ISO 27001: Identificación y Reporte de No Conformidades
Reporte de No Conformidades en Auditoría ISO 27001
Gestión de la Continuidad del Negocio
Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001
Construcción de un Plan de Continuidad de Negocio
Cierre del curso
Examen Simulacro de ISO 27001: Seguridad de la Información
Certificación y Feedback en ISO 27001: Próximos Pasos
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Si ya tienes una cuenta,
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
10/39Recursos
¿Cuáles son los controles de seguridad de las operaciones según el Anexo A de la ISO 27001?
El Anexo A de la norma ISO 27001 es una guía indispensable para implementar un Sistema de Gestión de Seguridad de la Información (SGSI). El grupo de controles de seguridad de las operaciones, que consta de quince recomendaciones, es crucial para garantizar que las operaciones de TI funcionen de manera segura y eficiente. Estos controles tratan temas como la segregación de ambientes para gestión de cambios, la capacidad de gestión de la infraestructura y la protección contra malware, entre otros.
¿Cómo asegurar la capacidad de gestión de infraestructura?
Uno de los aspectos clave en la seguridad de las operaciones es gestionar la capacidad de la infraestructura tecnológica. La norma ISO 27001 recomienda monitorizar continuamente los recursos para anticiparse a los picos de demanda, evitando así interrupciones en las operaciones debido a la falta de disponibilidad del sistema.
- Monitoreo constante: Realizar revisiones regulares del rendimiento de los sistemas.
- Previsión de picos: Identificar momentos de alta demanda en los que se requieran más recursos físicos.
- Planificación de la capacidad: Ajustar y optimizar la infraestructura según los resultados del monitoreo.
¿Qué implica una gestión adecuada de respaldos?
El control de respaldos es vital para asegurar la disponibilidad de la información crítica para el negocio. La ISO 27001 sugiere establecer una política clara de backups, que incluya la periodicidad y pruebas de restauración para verificar su eficacia.
- Política de backups: Definir la frecuencia y tipo de datos a respaldar.
- Pruebas de restauración: Realizar simulaciones de restauración para confirmar que los backups son funcionales y completos.
- Verificación continua: Revisar constantemente que los backups estén actualizados y accesibles.
¿Cómo deben gestionarse los proveedores bajo la ISO 27001?
La relación con los proveedores es un aspecto fundamental al implementar un SGSI. La norma dedica un grupo específico de controles para gestionar esta relación, que no se limita únicamente a servicios tecnológicos.
¿Cuáles son las claves para una buena gestión de proveedores?
Según el Anexo A, deben definirse claramente los acuerdos de nivel de servicio y las pólizas de cumplimiento con terceros. La externalización de servicios no exime a la organización de asegurar que los controles adecuados se apliquen.
- Acuerdos de nivel de servicio (SLA): Establecer claros SLA para asegurar la calidad y cumplimiento.
- Cumplimiento normativo: Asegurarse de que los proveedores cumplan con las normativas vigentes.
- Evaluación continua: Monitorear y auditar regularmente a los proveedores para verificar el cumplimiento de los acuerdos.
¿Por qué es esencial la continuidad del negocio en un SGSI?
La continuidad del negocio es un aspecto crucial que interactúa directamente con la seguridad de la información. Se deben desarrollar estrategias para mantener la operatividad durante crisis o interrupciones tecnológicas.
¿Cómo implementar un plan de continuidad?
El Anexo A detalla cuatro controles fundamentales para garantizar la continuidad del negocio. Estas estrategias aseguran que la organización continúe operando mientras el equipo de TI resuelve cualquier problema.
- Análisis de impacto en el negocio (BIA): Comprender los procesos críticos y el impacto de su interrupción.
- Planes de contingencia: Desarrollar, documentar y probar regularmente planes para situaciones de emergencia.
- Capacitación y sensibilización: Entrenar al personal sobre sus roles y responsabilidades durante interrupciones.
Finalmente, la ISO 27001 enfatiza la importancia de adaptar y personalizar estos controles según el tamaño y las necesidades específicas de la organización. Implementando estos controles de manera efectiva, se apoya no solo en la seguridad de la información, sino también en el alcance de los objetivos empresariales.
Aportes 67
Preguntas 3
Ordenar por:
Composición del Anexo A
- Políticas de Seguridad de la Información: hace referencia a los controles sobre cómo escribir y revisar políticas de seguridad.
- Organización de la Seguridad de la información: los controles se encargan de establecer responsables. Al mismo tiempo también se centra en dispositivos móviles y situaciones como la de teletrabajo.
- Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contratación y finalización de contrato de personal.
- Gestión de Recursos: establecidos para realizar inventario, clasificación de información y manejo de los medios de almacenamiento.
- Control de Acceso: control del acceso tanto a la información como a aplicaciones u otro medio que contenga información.
- Criptografía: controles para gestionar encriptación de información.
- Seguridad física y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.
- Seguridad Operacional: controles relacionados con gestión de la protección de malware o vulnerabilidades.
- Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisión de información, mensajería…
- Adquisición, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.
- Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.
- Gestión de Incidentes en Seguridad de la Información: sirven para reportar eventos las debilidades, así como procedimientos de respuesta.
- Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio: referidos a la planificación de continuidad de negocio.
- Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la información y hacer que se cumplan.
Si buscan un detalle de los 114 controles, aquí pueden ver un ejemplo:
https://iso27001security.com/ISO27k_ISMS_and_controls_status_with_SoA_and_gaps_Spanish.xlsx
Se añadieron los grupos mandatorios para la ISO27001 y se corrigió el numero de controles con respecto al grupo de “Seguridad de operaciones” y resultara la suma == 114.
Source: https://www.isms.online/iso-27001/requirements-controls/
Mi empresa se encuentra certificada con Iso 27001 y todo marcha en consecucion a ello
.
Últimos elementos del Anexo A
Detalles Anexo A
- #8
- GRUPO: Seguridad de las operaciones.
- DESCRIPCIÓN: Controles relacionados con la gestión de la producción en TI: gestión de cambios, gestión de capacidad, malware, respaldo, vulnerabilidades, etc.
- CONTROLES: 15.
- #9
- GRUPO: Seguridad de las comunicaciones.
- DESCRIPCIÓN: Controles relacionados con la seguridad de redes, segregación, servicios de redes, transferencia de información, mensajería, etc.
- CONTROLES: 7.
- #10
- GRUPO: Adquisición, desarrollo y mantenimiento de los sistemas de información.
- DESCRIPCIÓN: Controles que definen los requerimientos de seguridad y la seguridad en los procesos de desarrollo y soporte.
- CONTROLES: 13.
- #11
- GRUPO: Relación con proveedores.
- DESCRIPCIÓN: Controles acerca de qué incluir en los contratos, y cómo hacer el seguimiento a los proveedores.
- CONTROLES: 5.
- #12
- GRUPO: Gestión de incidentes de seguridad de la información.
- DESCRIPCIÓN: Controles para reportar los eventos y debilidades, definir responsabilidades, procedimientos de respuesta, y recolección de evidencias.
- CONTROLES: 7.
- 13
- GRUPO: Aspectos de seguridad de la información para la gestión de la continuidad de negocio.
- DESCRIPCIÓN: Controles que requieren la planificación de la continuidad del negocio, procedimientos, verificación y revisión, y redundancia de TI.
- CONTROLES: 4.
- #14
- GRUPO: Cumplimiento.
- DESCRIPCIÓN: Controles que requieren la identificación de las leyes y regulaciones aplicables, protección de la propiedad intelectual, protección de datos personales, y revisiones de la seguridad de la información.
- CONTROLES: 8.
Lo mas dificil es que las empresas:
- Le den continuidad a los planes
- Asignen personal para esto
Generalmente somos los hombres orquestas de la compañia y el tiempo para estas cosas es reducido
Como apenas estoy iniciando mi propio negocio, el primer grupo me ayudara a estructurar el orden de mi organización y no tendré futuros stress y jaloneos para que mis empleados de adapten a una nueva forma de trabajar.
“La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se señalan en el Anexo A, los que apliquen en su compañía.”
Dejan Kosutic
Especialista líder en ISO 27001
Muy buena la clase.
Creo que comenzaria en el orden en que estan descritos estos controles, ya que al no tener mucha experiencia en la aplicacion de estos controles debo ir desarrollandolos uno a uno, siempre y cuando vea que se pueden aplicar a la organizacion donde me desempeñe.
Si existe otra manera de implementarlos me gustaria que el profesor me diera su opinion. Gracias
Hola, ¿por que la suma de los controles da 115 en lugar de 114?
Grupo 1 2
Grupo 2 7
Grupo 3 6
Grupo 4 10
Grupo 5 14
Grupo 6 2
Grupo 7 15
Grupo 8 15
Grupo 9 7
Grupo 10 13
Grupo 11 5
Grupo 12 7
Grupo 13 4
Grupo 14 8
TOTAL 115
La norma ISO/IEC 27001:2022 introdujo varios cambios y actualizaciones en comparación con su predecesora, ISO/IEC 27001:2013. Algunos de los cambios más significativos son:
1. **Estructura y terminología**: Se ha actualizado la estructura y la terminología para alinearla con otros estándares de sistemas de gestión, lo que facilita la integración con normas como ISO 9001 o ISO 14001.
2. **Contexto de la organización**: Se pone más énfasis en la comprensión del contexto de la organización y en la integración del sistema de gestión de seguridad de la información (SGSI) con los procesos de negocio de la organización.
3. **Liderazgo y compromiso**: Hay un enfoque más fuerte en el liderazgo y el compromiso de la alta dirección, subrayando la importancia de su papel en el fomento de una cultura de seguridad de la información.
4. **Evaluación de riesgos**: Se han actualizado y refinado los procesos de evaluación y tratamiento de riesgos, con una mayor claridad en los requisitos para la identificación, análisis y tratamiento de los riesgos de seguridad de la información.
5. **Objetivos de seguridad de la información**: Se pide una mayor claridad en la definición de los objetivos de seguridad de la información y cómo estos se alinean con los objetivos del negocio.
6. **Controles de seguridad**: Se ha revisado el Anexo A, que proporciona una lista de controles de seguridad, para reflejar las amenazas emergentes y las nuevas tecnologías. Esto puede incluir actualizaciones en áreas como la seguridad en la nube, criptografía avanzada y protección contra amenazas cibernéticas avanzadas.
7. **Documentación**: Se han modificado los requisitos de documentación, permitiendo una mayor flexibilidad en cómo las organizaciones manejan y mantienen la información documentada.
8. **Monitoreo, medición, análisis y evaluación**: Se han ampliado los requisitos para incluir una evaluación más detallada del desempeño y la efectividad del SGSI.
Estos cambios reflejan la evolución de las mejores prácticas en seguridad de la información y buscan proporcionar una guía más efectiva para las organizaciones en la protección de sus activos de información.
Iniciaría por los siguientes controles:
- Creación de la política de la seguridad de la información.
- Realizar inventario de los activos de información más críticos de la organización.
El control más difícil sería:
- Lo relacionado al desarrollo de software seguro, ya que hay una poca cultura de seguridad en los programadores.
- Crear una cultura de seguridad de la información en los usuarios.
Hola, yo considero que donde trabajo entrarían 10 de los 14 puntos mencionados:
- Ctrl 2: Política de la seguridad de la información
- Ctrl 4: Aspectos de seguridad de la información para la gestión de la continuidad de negocio
- Ctrl 6: Seguridad de los recursos humanos
- Ctrl 7:
- Organización de la seguridad de la información
- Gestión de incidentes de seguridad de la información
- Ctrl 8: Cumplimiento
- Ctrl 10: Gestión de activos
- Ctrl 13: Adquisición, desarrollo y mantenimiento de los sistemas de información
- Ctrl 14: Controles de acceso
- Ctrl 15: Seguridad de las operaciones
Considero que los mas complejos de implementar son Controles de acceso (14) ya que depende de muchas areas, y los cambios de procesos que ellos lleven, si no se alinea a las demás área a definir perfiles de puestos correctos y que pueden y no pueden hacer, es muy difícil, controlar los permisos.
Lo mismo que Seguridad de los recursos humanos (6) se tiene que tener una buena comunicación con Gestión de talento para que el procesos se lleve acorde lo establecido.
en mi empresa falta :
-seguridad de las operaciones (da igual se està linux , però creo que se tiene que hacer a veces)
-controles que definen los requirimientos de seguridad
Pues definitivamente arrancaria por las copias de seguridad, probarlas cada x tiempo deacuerdo a la evaluacion, y por supuesto tener minimo 3 copias una automatica interna, otra automatica externa y una tercera manual Externa
el de RRHH - antes durante y despues… ese despues… uffs. ni Cisco ni Tesla… todos llevan tremendas demandas a exempleados por patentes 😃 - que nombrar otros como Microsoft y un largo etc.
Tengo una pregunta, cómo le justificas a una auditoría externa que llega a certificarte, para te evalúe sobre los grupos y controles seleccionados? ya que si no todos son aplicables, la norma los considera completos. gracias
son 14 grupos, estos son los 7 grupos finales. Los controles son los 114, que dependen del tamaño o aplicabilidad de la empresa
La gestión de activos es un control que es complejo de completar, no es constante y no siempre se logra inventariar todo, muchos casos se han visto en que hay servidores o aplicaciones de las cuales no se tiene seguimiento, sin mencionar el correcto uso que se le de al activo el cual va amarrado del eslabón más débil de la cadena, el usuario.
Buenas tardes, pienso que en mi institución empezaría por controles de acceso a usuarios, ya que hay una lata rotación de personal.
El control más duro de implementar es que que tieen que ver con que los usuarios de los sistemas no dejen contraseñas escritas en papel, hojas impresas con info confidencial entre otras cosas, educar al usaurio es lo más complicado.
Qué difícil puede llegar a ser implementar el grupo 11 de control a los proveedores.. Porque si ya de por sí es difícil implementar controles en la propia organización, no imagino lo difícil que puede llegar a ser pretender que una compañía modifique, por ejemplo, un contrato o introduzca una cláusula de confidencialidad a pedido nuestro.
A continuación, se listan los **14 dominios de la seguridad de la información** que plantea la ISO 27001:
1. Política de seguridad de la información
2. Planificación
3. Apoyo
4. Evaluación de riesgos
5. Gestión de activos
6. Seguridad de la gestión de acceso
7. Adquisición, desarrollo e implementación
8. Operación de seguridad de la información
9. Revisión de seguridad de la información
10. Gestión de incidentes de seguridad de la información
11. Mantenimiento
12. Evaluación y tratamiento de continuidad del negocio
13. Cumplimiento legal y normativo
14. Mejora continua del ISMS.
Fuente: <https://codigoonclick.com/conoce-los-dominios-de-la-seguridad-de-la-informacion/>
Ahora con el. “boom” de trabajo remoto, el tema de controlar la información en los computadores. Ya que no se pueden asegurar la puesto de trabajo, mucha gente inclusive trabaja en los personales. La ISO no contempla estas situaciones
El grupo de control más fácil de implementar sería “Políticas de Seguridad de la Información”. Por ahí empezaría.
Tomando las palabras de Dejan Kosutic,
_ “La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se señalan en el Anexo A, los que apliquen en su compañía.”_
En mi lugar de trabajo empezaría por aplicar los siguientes controles:
- Política de la seguridad de la información.
- Gestión de activos
El control más difícil a aplicar sería:
- Seguridad de las Operaciones
- Seguridad de las comunicaciones
Comparto Nueva Versión ISO 27001:2022 Cambios en el Anexo A. https://ingertec.com/nueva-version-iso-27001-2022/
Hola, recientemente se agregaron nuevos controles a la ISO:27001, aca les dejo la nota: https://mobilizaacademy.com/iso-27001-2022-publicada-nuevos-controles/
Por las características del Core Business que maneja la empresa para que laboro iniciaría con el control No. 14 “Cumplimiento”, dado que la normativa legal es el fundamento de nuestros servicios.
los grupos con mayor dificultad en mi opinión serían los que tienen una relación con los proveedores donde se requiere que una persona haga un control interno y pueda validar y certificar que los productos y servicios adquiridos son acorde a las necesidades de la compañía
ya que requiere llevara cabo todo el proceso de un nuevo proyecto y su integración al SI a la vez que se mitigan posibles vulnerabilidades, la planeación y metodologías para prevenir incidentes con los nuevos proyectos tecnológicos de la compañía y todas sus partes.
para iniciar definitivamente los dos primeros grupos son esenciales políticas y organización para estructurar adecuadamente el desarrollo del SGSI
11 Relacion con proveedores
esta para la empresa en la que me encuentro seria la mas complicada por la forma de trabajar del proveedor que es el desarrollador del sistema que se utiliza en el dia a dia y se le han dado permisos excesivos para hacer casi lo que quiera en los servidores de produccion
El grupo que mas difícil de implementar para mi sera el numero 13 y el 7.
El 13 por que en cierta medida no entiendo muy bien a que se refiere ese grupo y el numero 7 por que la mayoría de los usuarios no tienen esa cultura de seguridad y cuando se les quiere capacitar hasta se enojan y piensan que es una perdida de tiempo
Buenas noches,yo creería que dependiendo del tamaño de la compañía, el control de gestión de activos sería uno de los mas difíciles de implementar ó el de cumplimiento
Primero, empezaría por darle orden a mi compañía, donde se identifique la estructura general de esta para así poder ir especificando cada procedimiento o cada área según lo que necesite.
Apuntes de esta clase y las anteriores en este link de trello!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso
De que esta compuesto el anexo A?
.
El anexo A esta compuesto de varios elementos
.
- Políticas de Seguridad de la Información: hace referencia a los controles sobre cómo escribir y revisar políticas de seguridad.
. - Organización de la Seguridad de la información: los controles se encargan de establecer responsables. Al mismo tiempo también se centra en dispositivos móviles y situaciones como la de teletrabajo.
. - Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contratación y finalización de contrato de personal.
. - Gestión de Recursos: establecidos para realizar inventario, clasificación de información y manejo de los medios de almacenamiento.
. - Control de Acceso: control del acceso tanto a la información como a aplicaciones u otro medio que contenga información.
. - Criptografía: controles para gestionar encriptación de información.
. - Seguridad física y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.
. - Seguridad Operacional: controles relacionados con gestión de la protección de malware o vulnerabilidades.
. - Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisión de información, mensajería.
. - Adquisición, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.
. - Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.
. - Gestión de Incidentes en Seguridad de la Información: sirven para reportar eventos las debilidades, así como procedimientos de respuesta.
. - Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio: referidos a la planificación de continuidad de negocio.
.
Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la información y hacer que se cumplan.
Yo no trabajo en ninguna empresa pero creo que lo mas complejo seria cumplir como debe ser a las normas y politicas, ya que es complicado ser disciplinado
Lo mas complejo es que empresas que manejan personal antiguo, sobretodo secretarias, que llevan 10 o mas años en sus puestos. No ven la necesidad de realizar ciertos cambios como lo es una politica de contraseña mas segura o la de escritorio y pantalla limpia. Esto aumenta el nivel de complejidad al momento de implementar ciertos controles de la norma
Hola para opinar sobre cuál es el grupo más difícil de implantar en cada organización, y retomando la frase de Dejan Kosutic, el grupo más difícil de implementar será justo donde el contexto de tu compañía te lo indique. En el caso de la compañía en la que laboro por una renovación de tecnología que compromete la operación y a pesar de que ya se cuenta con la certificación ISO 27001, podría pensar en que los grupos 10, 13, y 14 serán complejos (para empezar) sin embargo seguramente se tocaran gradualmente todos los grupos. Justo este curso es de las herramientas que tomo para integrarme al equipo de SGSI.
grupo 8
grupo 9
En cuanto a la recolección de activos de la información lo más difícil es que la o las personas dueñas de ese activo puedan dedicar tiempo a proveer información en detalle.
Cordial saludo, yo implementaría en primer lugar el control relativo al cumplimiento normativo de la legislación aplicable a determinada organización, desarrollando en primer lugar políticas de tratamiento de la Información, y aviso de privacidad.
Estos anexos se deben de implementar bajo un modelo de seguimiento y de verificacion.
la creacion de vlan para cada uno de los sectores de la empresa
De acuerdo a la criticidad ciudadana de la empresa en la trabajo, aplicaría de cajón el #08 Seguridad de las Operaciones, es algo en que estamos avanzando pero necesitamos aplicar el ciclo SGSI, en especial la auditoria interna y la mejora continua.
Para la implementación del SGSI iniciaría con el grupo 1 relacionado con las políticas de seguridad de la información porque permite establecer los pilares del sistema de gestión. Considero que los controles mas difíciles de implementar son, el grupo 5 y grupo 7 (Control de acceso y Seguridad física y del entorno, respectivamente)
Excelente clase y exelso los comentarios de los compañeros que enriquece lo aprendio.
Me causa algo de confusión lo expuesto sobre el grupo 14 y su inclusión en la versión 2013 de la 27001. Tengo en mi poder la versión 2005, allí aparece como el Grupo 15 Cumplimiento “asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.” ¿Por que se habla de inclusión en la versión 2013 si ya existía en la 2005? @atovarg
En mi caso considero que mi empresa tendría problemas para la gestión de la continuidad del negocio, de hecho fue la cuarentena la que evidenció este problema.
Creo que mas allá de obtener la certificación , es toda una guía de buenas prácticas, alguna vez pensé en cómo le iba a hacer para pensar en las posibilidades que se pueden presentar en cuanto a procesos de TI ,y pues nada con esta norma se puede conocer y pues horra un montón de tiempo
Como dice Alex, creo que de acuerdo a tipo de empresa se va realizando un fltro con respecto al tipo de controles a implementar
En la empresa donde trabajo, no tenemos esta certificaciòn pero he tenido oportunidad de estar implementando lo que respecta a “Seguridad de las operaciones” en cuanto a lo que son los respaldos, minimizar las vulnerabilidades y el control del software antivirus. También el inventario de equipos y de licencias de software que posee la empresa. Me parece interesante este curso porque aunque no estamos optando a la certificación, esta es una guía para mejorar nuestra labor e implementar mas controles para la protección de la información.
Yo creeria que en mi organizacion aunque en un nivel bajo estaria fallando la gestion de activos no se si es algo comun en las organizaciones pues en la mayoria en las que he trabajado este ha sido un problema enorme
En algunas compañias, asumo que sería Seguridad fisica y del entorno, ya que aun existen compañias que toman a la ligera la seguridad de la información y no invierten en estas medidas o las consideran exageradas.
La empresa donde trabaje no implementaba medidas como el Control de Acceso, no había de por medio filtrados de aplicaciones y el tema de los accesos como las contraseñas eran vulnerables.
pues si la empresa de mi papa, yo fuera el encargado yo creo que lo mas dificil seria la implementacion, del grupo 7 y 8 xd
La familia de normas sobre continuidad del negocio es la ISO 22301.
Desde mí punto de visto siempre he visto un poco complicado la gestión de la capacidad, tiende a ser un poco "impredecible" quizás no sea la palabra correcta, pero siempre surge factores que a veces no tomamos en cuenta.
Considero que la gestión de la continuidad del negocio sería un aspecto difícil de solucionar en mi organización, debido a la falta de liderazgo y compromiso por parte del los altos mandos.
Yo creo que uno de los controles donde voy a tener mayor dificultad es con la 10° Adquisición, desarrollo y mantenimiento de los sistemas de información, debido a que las prestaciones ya se encuentran bajo lineamientos de contrato, no sé la figura exacta para modificar algunas cláusulas del contrato o si simplemente ya no se puede.
La ISO 27001:2022 no especifica controles mandatorios específicos. En su lugar, proporciona un marco general y un catálogo de controles (Anexo A) que las organizaciones pueden adaptar según su propio contexto y nivel de riesgo. No hay una lista fija de controles mandatorios, porque cada organización tiene necesidades y riesgos únicos. Lo que funciona para una empresa de tecnología puede no ser adecuado para una institución financiera. Al permitir que las organizaciones seleccionen los controles más relevantes, la ISO 27001 fomenta una implementación más personalizada y eficaz.
Yo necesito implementar para Seguridad física y del entorno. ya que se me planteo una problematica sobre el acceso al site de la empresa, también incluire el control de acceso.
Como emprendedor pienso que el grupo mas difícil de implementar es el número 10 - Adquisición, desarrollo y mantenimiento de Sistemas, esto dada la veloz evolución que es característica de este tipo de sistemas tecnológicos con ciclos de vida cada vez más cortos.
Muchos de los controles que se requieren a nivel de la norma son de sensibilización y mejoramiento de las practicas. Según la norma los que tienen mayor dificultad son los que tienen que ver con la implementación de temas tecnológicos y acceso, lo anterior teniendo en cuenta las inversiones que se deben realizar.
Al inicio de cualquier proyecto puede ser un poco abrumador esta cantidad de detalles a cumplir.
Sin embargo, la mejora constante toma una posición imprescindible en todos los proyectos (tanto en pequeñas, medianas y grandes empresas.)
Increíble clase, a seguir aprendiendo
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?