Últimos elementos del anexo A

Faltó mencionar que los controles 4 a 10 son “mandatorios”, es decir, de obligatorio cumplimiento para poder obtener la certificación.

Composición del Anexo A

1. Políticas de Seguridad de la Información: hace referencia a los controles sobre cómo escribir y revisar políticas de seguridad.
2. Organización de la Seguridad de la información: los controles se encargan de establecer responsables. Al mismo tiempo también se centra en dispositivos móviles y situaciones como la de teletrabajo.
3. Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contratación y finalización de contrato de personal.
4. Gestión de Recursos: establecidos para realizar inventario, clasificación de información y manejo de los medios de almacenamiento.
5. Control de Acceso: control del acceso tanto a la información como a aplicaciones u otro medio que contenga información.
6. Criptografía: controles para gestionar encriptación de información.
7. Seguridad física y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.
8. Seguridad Operacional: controles relacionados con gestión de la protección de malware o vulnerabilidades.
9. Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisión de información, mensajería…
10. Adquisición, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.
11. Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.
12. Gestión de Incidentes en Seguridad de la Información: sirven para reportar eventos las debilidades, así como procedimientos de respuesta.
13. Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio: referidos a la planificación de continuidad de negocio.
14. Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la información y hacer que se cumplan.

Si buscan un detalle de los 114 controles, aquí pueden ver un ejemplo:

https://iso27001security.com/ISO27k_ISMS_and_controls_status_with_SoA_and_gaps_Spanish.xlsx

Se añadieron los grupos mandatorios para la ISO27001 y se corrigió el numero de controles con respecto al grupo de “Seguridad de operaciones” y resultara la suma == 114.
Source: https://www.isms.online/iso-27001/requirements-controls/

Mi empresa se encuentra certificada con Iso 27001 y todo marcha en consecucion a ello

.

Últimos elementos del Anexo A

Detalles Anexo A

• #8
  • GRUPO: Seguridad de las operaciones.
  • DESCRIPCIÓN: Controles relacionados con la gestión de la producción en TI: gestión de cambios, gestión de capacidad, malware, respaldo, vulnerabilidades, etc.
  • CONTROLES: 15.
• #9
  • GRUPO: Seguridad de las comunicaciones.
  • DESCRIPCIÓN: Controles relacionados con la seguridad de redes, segregación, servicios de redes, transferencia de información, mensajería, etc.
  • CONTROLES: 7.
• #10
  • GRUPO: Adquisición, desarrollo y mantenimiento de los sistemas de información.
  • DESCRIPCIÓN: Controles que definen los requerimientos de seguridad y la seguridad en los procesos de desarrollo y soporte.
  • CONTROLES: 13.
• #11
  • GRUPO: Relación con proveedores.
  • DESCRIPCIÓN: Controles acerca de qué incluir en los contratos, y cómo hacer el seguimiento a los proveedores.
  • CONTROLES: 5.
• #12
  • GRUPO: Gestión de incidentes de seguridad de la información.
  • DESCRIPCIÓN: Controles para reportar los eventos y debilidades, definir responsabilidades, procedimientos de respuesta, y recolección de evidencias.
  • CONTROLES: 7.
• 13
  • GRUPO: Aspectos de seguridad de la información para la gestión de la continuidad de negocio.
  • DESCRIPCIÓN: Controles que requieren la planificación de la continuidad del negocio, procedimientos, verificación y revisión, y redundancia de TI.
  • CONTROLES: 4.
• #14
  • GRUPO: Cumplimiento.
  • DESCRIPCIÓN: Controles que requieren la identificación de las leyes y regulaciones aplicables, protección de la propiedad intelectual, protección de datos personales, y revisiones de la seguridad de la información.
  • CONTROLES: 8.

Como apenas estoy iniciando mi propio negocio, el primer grupo me ayudara a estructurar el orden de mi organización y no tendré futuros stress y jaloneos para que mis empleados de adapten a una nueva forma de trabajar.

Lo mas dificil es que las empresas:

1. Le den continuidad a los planes
2. Asignen personal para esto

Generalmente somos los hombres orquestas de la compañia y el tiempo para estas cosas es reducido

Muy buena la clase.
Creo que comenzaria en el orden en que estan descritos estos controles, ya que al no tener mucha experiencia en la aplicacion de estos controles debo ir desarrollandolos uno a uno, siempre y cuando vea que se pueden aplicar a la organizacion donde me desempeñe.
Si existe otra manera de implementarlos me gustaria que el profesor me diera su opinion. Gracias

“La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se señalan en el Anexo A, los que apliquen en su compañía.”

Dejan Kosutic
Especialista líder en ISO 27001

Hola, ¿por que la suma de los controles da 115 en lugar de 114?
Grupo 1 2
Grupo 2 7
Grupo 3 6
Grupo 4 10
Grupo 5 14
Grupo 6 2
Grupo 7 15
Grupo 8 15
Grupo 9 7
Grupo 10 13
Grupo 11 5
Grupo 12 7
Grupo 13 4
Grupo 14 8
TOTAL 115

Iniciaría por los siguientes controles:

1. Creación de la política de la seguridad de la información.
2. Realizar inventario de los activos de información más críticos de la organización.

El control más difícil sería:

1. Lo relacionado al desarrollo de software seguro, ya que hay una poca cultura de seguridad en los programadores.
2. Crear una cultura de seguridad de la información en los usuarios.

https://normaiso27001.es/

Resumen del Anexo A - Norma ISO 27001:2013

Hola, yo considero que donde trabajo entrarían 10 de los 14 puntos mencionados:

• Ctrl 2: Política de la seguridad de la información
• Ctrl 4: Aspectos de seguridad de la información para la gestión de la continuidad de negocio
• Ctrl 6: Seguridad de los recursos humanos
• Ctrl 7:
  • Organización de la seguridad de la información
  • Gestión de incidentes de seguridad de la información
• Ctrl 8: Cumplimiento
• Ctrl 10: Gestión de activos
• Ctrl 13: Adquisición, desarrollo y mantenimiento de los sistemas de información
• Ctrl 14: Controles de acceso
• Ctrl 15: Seguridad de las operaciones

Considero que los mas complejos de implementar son Controles de acceso (14) ya que depende de muchas areas, y los cambios de procesos que ellos lleven, si no se alinea a las demás área a definir perfiles de puestos correctos y que pueden y no pueden hacer, es muy difícil, controlar los permisos.

Lo mismo que Seguridad de los recursos humanos (6) se tiene que tener una buena comunicación con Gestión de talento para que el procesos se lleve acorde lo establecido.

en mi empresa falta :

-seguridad de las operaciones (da igual se està linux , però creo que se tiene que hacer a veces)
-controles que definen los requirimientos de seguridad

Pues definitivamente arrancaria por las copias de seguridad, probarlas cada x tiempo deacuerdo a la evaluacion, y por supuesto tener minimo 3 copias una automatica interna, otra automatica externa y una tercera manual Externa

el de RRHH - antes durante y despues… ese despues… uffs. ni Cisco ni Tesla… todos llevan tremendas demandas a exempleados por patentes 😃 - que nombrar otros como Microsoft y un largo etc.

Tomando las palabras de Dejan Kosutic,
_ “La mejor manera de entender el Anexo A es pensar en él como un catálogo de controles de seguridad del que se pueden seleccionar, de los 114 controles que se señalan en el Anexo A, los que apliquen en su compañía.”_

En mi lugar de trabajo empezaría por aplicar los siguientes controles:

1. Política de la seguridad de la información.
2. Gestión de activos

El control más difícil a aplicar sería:

1. Seguridad de las Operaciones
2. Seguridad de las comunicaciones

Comparto Nueva Versión ISO 27001:2022 Cambios en el Anexo A. https://ingertec.com/nueva-version-iso-27001-2022/

Hola, recientemente se agregaron nuevos controles a la ISO:27001, aca les dejo la nota: https://mobilizaacademy.com/iso-27001-2022-publicada-nuevos-controles/

Por las características del Core Business que maneja la empresa para que laboro iniciaría con el control No. 14 “Cumplimiento”, dado que la normativa legal es el fundamento de nuestros servicios.

los grupos con mayor dificultad en mi opinión serían los que tienen una relación con los proveedores donde se requiere que una persona haga un control interno y pueda validar y certificar que los productos y servicios adquiridos son acorde a las necesidades de la compañía

ya que requiere llevara cabo todo el proceso de un nuevo proyecto y su integración al SI a la vez que se mitigan posibles vulnerabilidades, la planeación y metodologías para prevenir incidentes con los nuevos proyectos tecnológicos de la compañía y todas sus partes.

para iniciar definitivamente los dos primeros grupos son esenciales políticas y organización para estructurar adecuadamente el desarrollo del SGSI

11 Relacion con proveedores
esta para la empresa en la que me encuentro seria la mas complicada por la forma de trabajar del proveedor que es el desarrollador del sistema que se utiliza en el dia a dia y se le han dado permisos excesivos para hacer casi lo que quiera en los servidores de produccion

El grupo que mas difícil de implementar para mi sera el numero 13 y el 7.

El 13 por que en cierta medida no entiendo muy bien a que se refiere ese grupo y el numero 7 por que la mayoría de los usuarios no tienen esa cultura de seguridad y cuando se les quiere capacitar hasta se enojan y piensan que es una perdida de tiempo

Buenas noches,yo creería que dependiendo del tamaño de la compañía, el control de gestión de activos sería uno de los mas difíciles de implementar ó el de cumplimiento

Primero, empezaría por darle orden a mi compañía, donde se identifique la estructura general de esta para así poder ir especificando cada procedimiento o cada área según lo que necesite.

Apuntes de esta clase y las anteriores en este link de trello!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

De que esta compuesto el anexo A?
.
El anexo A esta compuesto de varios elementos
.

1. Políticas de Seguridad de la Información: hace referencia a los controles sobre cómo escribir y revisar políticas de seguridad.
   .
2. Organización de la Seguridad de la información: los controles se encargan de establecer responsables. Al mismo tiempo también se centra en dispositivos móviles y situaciones como la de teletrabajo.
   .
3. Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contratación y finalización de contrato de personal.
   .
4. Gestión de Recursos: establecidos para realizar inventario, clasificación de información y manejo de los medios de almacenamiento.
   .
5. Control de Acceso: control del acceso tanto a la información como a aplicaciones u otro medio que contenga información.
   .
6. Criptografía: controles para gestionar encriptación de información.
   .
7. Seguridad física y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.
   .
8. Seguridad Operacional: controles relacionados con gestión de la protección de malware o vulnerabilidades.
   .
9. Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisión de información, mensajería.
   .
10. Adquisición, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.
    .
11. Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.
    .
12. Gestión de Incidentes en Seguridad de la Información: sirven para reportar eventos las debilidades, así como procedimientos de respuesta.
    .
13. Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio: referidos a la planificación de continuidad de negocio.
    .
    Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la información y hacer que se cumplan.

Yo no trabajo en ninguna empresa pero creo que lo mas complejo seria cumplir como debe ser a las normas y politicas, ya que es complicado ser disciplinado

Lo mas complejo es que empresas que manejan personal antiguo, sobretodo secretarias, que llevan 10 o mas años en sus puestos. No ven la necesidad de realizar ciertos cambios como lo es una politica de contraseña mas segura o la de escritorio y pantalla limpia. Esto aumenta el nivel de complejidad al momento de implementar ciertos controles de la norma

Hola para opinar sobre cuál es el grupo más difícil de implantar en cada organización, y retomando la frase de Dejan Kosutic, el grupo más difícil de implementar será justo donde el contexto de tu compañía te lo indique. En el caso de la compañía en la que laboro por una renovación de tecnología que compromete la operación y a pesar de que ya se cuenta con la certificación ISO 27001, podría pensar en que los grupos 10, 13, y 14 serán complejos (para empezar) sin embargo seguramente se tocaran gradualmente todos los grupos. Justo este curso es de las herramientas que tomo para integrarme al equipo de SGSI.

grupo 8

grupo 9

Estos anexos se deben de implementar bajo un modelo de seguimiento y de verificacion.

la creacion de vlan para cada uno de los sectores de la empresa

De acuerdo a la criticidad ciudadana de la empresa en la trabajo, aplicaría de cajón el #08 Seguridad de las Operaciones, es algo en que estamos avanzando pero necesitamos aplicar el ciclo SGSI, en especial la auditoria interna y la mejora continua.

Para la implementación del SGSI iniciaría con el grupo 1 relacionado con las políticas de seguridad de la información porque permite establecer los pilares del sistema de gestión. Considero que los controles mas difíciles de implementar son, el grupo 5 y grupo 7 (Control de acceso y Seguridad física y del entorno, respectivamente)

Excelente clase y exelso los comentarios de los compañeros que enriquece lo aprendio.

Me causa algo de confusión lo expuesto sobre el grupo 14 y su inclusión en la versión 2013 de la 27001. Tengo en mi poder la versión 2005, allí aparece como el Grupo 15 Cumplimiento “asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.” ¿Por que se habla de inclusión en la versión 2013 si ya existía en la 2005? @atovarg

En mi caso considero que mi empresa tendría problemas para la gestión de la continuidad del negocio, de hecho fue la cuarentena la que evidenció este problema.

Creo que mas allá de obtener la certificación , es toda una guía de buenas prácticas, alguna vez pensé en cómo le iba a hacer para pensar en las posibilidades que se pueden presentar en cuanto a procesos de TI ,y pues nada con esta norma se puede conocer y pues horra un montón de tiempo

Como dice Alex, creo que de acuerdo a tipo de empresa se va realizando un fltro con respecto al tipo de controles a implementar

En la empresa donde trabajo, no tenemos esta certificaciòn pero he tenido oportunidad de estar implementando lo que respecta a “Seguridad de las operaciones” en cuanto a lo que son los respaldos, minimizar las vulnerabilidades y el control del software antivirus. También el inventario de equipos y de licencias de software que posee la empresa. Me parece interesante este curso porque aunque no estamos optando a la certificación, esta es una guía para mejorar nuestra labor e implementar mas controles para la protección de la información.

Yo creeria que en mi organizacion aunque en un nivel bajo estaria fallando la gestion de activos no se si es algo comun en las organizaciones pues en la mayoria en las que he trabajado este ha sido un problema enorme

En algunas compañias, asumo que sería Seguridad fisica y del entorno, ya que aun existen compañias que toman a la ligera la seguridad de la información y no invierten en estas medidas o las consideran exageradas.

La empresa donde trabaje no implementaba medidas como el Control de Acceso, no había de por medio filtrados de aplicaciones y el tema de los accesos como las contraseñas eran vulnerables.

pues si la empresa de mi papa, yo fuera el encargado yo creo que lo mas dificil seria la implementacion, del grupo 7 y 8 xd

La familia de normas sobre continuidad del negocio es la ISO 22301.

Considero que la gestión de la continuidad del negocio sería un aspecto difícil de solucionar en mi organización, debido a la falta de liderazgo y compromiso por parte del los altos mandos.

Yo creo que uno de los controles donde voy a tener mayor dificultad es con la 10° Adquisición, desarrollo y mantenimiento de los sistemas de información, debido a que las prestaciones ya se encuentran bajo lineamientos de contrato, no sé la figura exacta para modificar algunas cláusulas del contrato o si simplemente ya no se puede.

Yo necesito implementar para Seguridad física y del entorno. ya que se me planteo una problematica sobre el acceso al site de la empresa, también incluire el control de acceso.

Como emprendedor pienso que el grupo mas difícil de implementar es el número 10 - Adquisición, desarrollo y mantenimiento de Sistemas, esto dada la veloz evolución que es característica de este tipo de sistemas tecnológicos con ciclos de vida cada vez más cortos.

Muchos de los controles que se requieren a nivel de la norma son de sensibilización y mejoramiento de las practicas. Según la norma los que tienen mayor dificultad son los que tienen que ver con la implementación de temas tecnológicos y acceso, lo anterior teniendo en cuenta las inversiones que se deben realizar.

Al inicio de cualquier proyecto puede ser un poco abrumador esta cantidad de detalles a cumplir.
Sin embargo, la mejora constante toma una posición imprescindible en todos los proyectos (tanto en pequeñas, medianas y grandes empresas.)
Increíble clase, a seguir aprendiendo