Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Clasificación de los activos de información

11/39
Recursos

Aportes 29

Preguntas 10

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

o inicia sesión.

Clasificación de los activos de información


La clasificación de activos de información es lograr tener un detalle de que información fluye dentro de los procesos organizacionales.

COBIT es un marco de trabajo donde su objetivo es la implementación de un gobierno de T.I, gestión a nivel de objetivos de control, auditoria. Este apoya a un proceso de negocio que es apalancado por un proceso de tecnología.

Los datos se deben transformar se genera información para obtener conocimiento, con el conocimiento se crea valor porque depende de las estrategias que se tomen en un futuro se soportaran sobre ese conocimiento terminando por el proceso de negocio.

Es importante identificar donde puede haber un problema en el ciclo.

Se tiene que considerar toda la información relevante para la empresa, no solo a la información automatizada.

En cuanto a la información puede ser de cuatro tipos:

  • La información estructurada está definida en una base de datos.

  • La información no estructurada es que se tome la información donde no se cumple un estándar y le falta ser procesada.

  • La información formal es aquella la cual está plasmada en un documento o sistema.

  • La información informal es la cual es respaldada por alguna persona pero todavía no está plasmado en un documento

Se tiene que generar el mayor conocimiento posible para después ser clasificada de acuerdo a la criticidad de la compañía.

Arquitectura de la Información
Diccionario corporativo de datos

  • Se necesita este diccionario para el intercambio de datos para poder compartirse entre sistemas de Información.
    Esquema de clasificación de datos

  • Se debe saber cómo se almacena los datos dentro de la empresa
    Niveles de seguridad

  • Estrategias a seguir para proteger la información

Esquema de clasificación de datos.

  • Se debe establecer un esquema de clasificación que aplique a toda la compañia.

COBIT mejora la calidad de toma de decisiones gerenciales asegurándose que proporciona información confiable y segura.

Inventario de activos de información
La identificación de activos valiosos para el negoci donde la información es unica y no se puede encontrar en algun otro sistema.

Las actividades para obtener un inventario de activos son:

  1. Definición
  2. Revisión
  3. Actualización
  4. Publicación

Se debe tener en cuenta que se tiene que hablar con cada area para conocer los sistemas, ya que solo esa area sabe mas que alguna otra acerca del sistema que se ocupe.


Ciclo de la información, (COBIT 5)

Procesos de negocio(Procesos TI) => generar procesos => DATOS => Transforma => INFORMACION =>Transforma => CONOCIMIENTO => Crea => VALOR =>Conlleva => PROCESOS DE NEGOCIO.

  • Considerar toda la información relevante de la compañía
    *La información puede ser formal o informal

ARQUITECTURA DE LA INFORMACION

*Diccionario corporativo de datos
*Esquema de clasificación de datos
*Niveles de seguridad

Hacer un esquema de clasificación de datos
INVENTARIO DE ACTIVOS DE INFORMACION

*Definición
*Revisión
*Actualización
*Publicación

Aqui les dijo el link referente a la identificacion de los activos y el mapa de riesgo.

Mapa de evaluación de riesgos

Muy completa la clase,mucha información que hay que digerir.

Gestión de Riesgos.

“Identificar los posibles riesgos que puedan afectar nuestra información y tratar de mitigarlos”.

Hola a todos!!! Alguien acá tienen un ejemplo de Arquitectura de la Información - De un Diccionario de Datos - del Esquema de clasificación de Datos. Mil Gracias!!! La idea poder implementarlo en un caso real.

  • Los procesos de negocio están ligados a los procesos en TI.
  • Toda la información debe ser clasificada de acuerdo al nivel de criticidad que tenga y al nivel de importancia que corresponda dentro de la organización.

Inventario de activos de información:

Es la identificación de los datos que son valiosos para la organización.

Actividades para obtener un inventario de activos:
Definición : Define la información que necesitas .
Revisión : Revisa las fuentes trabajando en el campo.
Actualización : Estate pendiente de las actualizaciones
en el sistema de información.
Publicación : Publica los resultados.

MUY TEORICA Y LENTA LA CLASE, ALGO CON MAS ACCION SERIA MAS PRODUCTIVO

El ciclo de la información:

*Es importante que se considere toda la información relevante para la empresa, no sólo la información automatizada.

*La información puede ser estructurada o desestructurada, formal o informal.

Arquitectura de la información:

Es la función de crear y actualizar de forma regular un modelo de información de la organización y definir los sistemas apropiados para optimizar el uso de esta información.

-Diccionario corporativo de datos: Se necesita este diccionario para el intercambio de datos para poder compartirse entre sistemas de Información.
-Esquema de clasificación de datos : Se debe saber cómo se almacena los datos dentro de la empresa
-Niveles de seguridad: Estrategias a seguir para proteger la información

Esquema de clasificación de datos:

Se debe establecer un esquema de clasificación que aplique a toda la compañia, basado en que tan crítica y sensible es la información manejada…

COBIT – mejora la calidad de toma de decisiones gerenciales asegurándose que proporciona información confiable y segura.

Inventario de activos de información:

La identificación inventario de activos de información, permite clasificar los activos a los que se les debe brindar mayor protección , además de los activos valiosos para el negocio donde la información es única y no se puede encontrar en algún otro sistema.

Las actividades para obtener un inventario de activos son:

Definición (preguntar a los funcionarios que tipo de información manejan o tienen en su poder de la organización ya que los únicos que conocen a detalle esto son quienes usan o aplican sus actividades diariamente en al empresa…identificar cuales son claves para el negocio o procesos)
Revisión (ver el área o proceso para entender todo el contexto)
Actualización
Publicación

Se debe tener en cuenta que se tiene que hablar con cada área para conocer los sistemas, ya que solo esa área sabe más que alguna otra acerca del sistema que se ocupe.

Apuntes de esta clase y las anteriores en este link de trello!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Las actividades para obtener un inventario de activos son:
.
-Definición: Define los datos que nesecitas.
.
-Revision: Revisa y filtra si los datos obtuvidos, son los que necesitas para la organizacion.
.
-Actualización: Actualiza los datos y revisa si aun te sirven.
.
-Publicación: Debes publicar estos activos, pero debes clasificar por rama y categoria de la organizacion, no publicaras datos de economia a la rama de tecnologia.

Que es el inventario de activos de informacion?
.
Es el proceso que se encarga de identificar, en toda la organizacion, la informacion que es valiosa para el negocio.

Todo este proceso, para que lo hacemos?
.
-Este proceso, mejora la calidad de toma de decisiones
.
-Proporciona una informacion confiable y segura.
.
-Proporciona orden y organizacion en la empresa

Que tenemos que tener en cuenta a la hora de crear un diccionario de datos?
.
-Debemos que tener en cuenta, como vamos a almacenar esa informacion, si por nombre, caracteristica (la persona ingreso a una publicidad mediante un anuncio o un post), atributo (la persona ya compro un producto o es su primera compra), etc.
.
-Debemos clasificar el nivel de criticidad de los datos, si es algo tan sensible como una tarjeta de credito o algo mas leve, como si compro o no un producto, para darle el nivel de seguridad que requiere, aunque todo tiene que estar protegido.

Que hacemos con la informacion adquirida?
.
Tienes que:
.
-Realizar un diccinario de datos.
.
-Generar todo el conocimiento posible.
.
-Clasifica segun la criticidad y la importancia de la informacion implicada y adquirida.

Cuales son los 4 tipos de infomacion que se maneja?
los 4 tipos de informacion que se manejan son:
.
-La información estructurada: la cual está definida en una base de datos.
.
-La información no estructurada: que toma la información
donde no se cumple un estándar o categoria y le falta ser procesada.
.
-**La información formal: **es aquella la cual está plasmada en un
documento o sistema.
.
-La información informal: es la respaldada por alguna persona pero que todavía no está plasmada en un documento.

Que es el ciclo de la informacion?
.
Es el proceso tecnologico que lleva a cabo un negocio, en el cual se deben transformar los datos en informaciónestructurada o no.
.
Para obtener conocimiento sobre algo, con el conocimiento se crea valor porque depende de las estrategias que se tomen en un futuro se soportaran sobre ese conocimiento terminando por el proceso de negocio.
.
Esto se realiza para conocer, donde puede haber un problema en el ciclo y hacer mas facil su resolucion.

Que es la clasificacion de activos de informacion?
Es el proceso que se encarga de identificar el tipo de informacion que se transmite mediante un medio de la organizacion, por ejemplo, las oficinas de recursos humanos, economicas o tecnologicas, en las 3, corre un tipo de informacion diferente.

Que es la gestion de riesgo?
Es la identificacion de los riesgos que afectan a nuestros sistemas de informacion, para luego minimizarlos y mitigarlos antes de que se matieralizen o manifiesten.

No es solo implementar por primera vez el SGSI, sino es muy importante los ciclos PHVA, ya que estos mecanismos nos ayudan en todo momento a detectar fallos y mitigar al mínimo los riesgos.

Comenzaría por gestión de incidentes ya que eso es uno de mis responsabilidades dentro dela compañía

Ciclo de Información: La clasificación de activos de la información es lograr tener un detalle de que información fluye dentro de los procesos organizaciónales.

No entendi muy bien la informacion formal e informal…

excelente clase

Excelente resumen…Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que se proporciona información confiable y segura…COBIT

COBIT 5 Objetivos de Control para las Tecnologías de la Información y Relacionadas, es una guía de mejores prácticas presentada como framework, dirigida al control y supervisión de tecnología de la información.

Excelente, conocimiento que se adquiere en este curso muy practica la plataforma