Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Aprende Ingl茅s, Programaci贸n, AI, Ciberseguridad y mucho m谩s.

Antes: $249

Currency
$209
Suscr铆bete

Termina en:

4 D铆as
17 Hrs
20 Min
22 Seg

Inventario de activos de informaci贸n

12/39
Recursos

Aportes 40

Preguntas 7

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

De acuerdo a la confidencialidad
掳 Altamente confidencial (Su divulgaci贸n genera gran riesgo para la compa帽铆a)
掳 Confidencial ( Es perjudicial que caiga en manos equivocadas)
掳 P煤blica ( Cualquier individuos puede tener acceso)
掳 No clasificada (tratarla como altamente confidencial)
De acuerdo a la integridad
掳 Alta (su perdida o modificaci贸n genera gran impacto en la compa帽铆a)
掳 Media (Si se cambia alg煤n dato el da帽o es moderado)
掳 Baja (Su modificaci贸n no genera ning煤n riesgo)
掳 No clasificada (darle criterio de alta)
De acuerdo a la Disponibilidad
掳 Alta (de no estar en el momento requerido, puede perjudicar la imagen de la compa帽铆a)
掳 Media ( Su no disponibilidad es de impacto moderado )
掳 Baja ( Genera un impacto leve)

A continuaci贸n presento los 铆tems requeridos en Colombia para realizar el inventariado de activos

Que tipos de informacion existe, segun la INTEGRIDAD?
.
Integridad Alta: nformacion que si se modifica, generara un fuerte impacto en cualquier indole, economico, social, etc. Por ejemplo, si por un error, se cambia el precio de un telefono a 1 dolar.
.
Integridad media:Informacion que si se modifica, no sera tan grave como la Alta, pero de debe proteger de cualquier forma.
.
Integridad baja: Informacion que se encuentra de manera sencilla, la cual no conlleva un impacto no significativo.
.
Integridad no clasificada: Manejada como alta, debido a que no se conoce su potencial.

Que tipos de informacion existe, segun la DISPONIBILIDAD?
.
Disponibilidad Alta: Conlleva un impacto negativo, tales como indole legal o economica, retrasaria funciones o generaria perdidas.
.
Disponibilidad Media: Conlleva un impacto moderado, generaria molestias pero que no fundiria una empresa.
.
Disponibilidad Baja: No afecta ningun proceso de la empresa debido a que no genera ningun impacto si esa informacion se encuentra o no.
.
Disponibilidad no clasificada: Manejada como alta, debido a que no se conoce su potencial.

Como clasifico la informacion?
La informacion la podes clasificar segun la triada de informacion (confidencialidad, integridad y disponibilidad).
.
Esto tiene como objetivo asegurar que la informacion recibe los niveles de proteccion adecuados, ya que de acuerdo a otras caracteristicas, cada una requiere un manejo especial.

Que tipo de informacion existe?
existen algunos tipos de tipos:
.
-Altamente confidencial: Es la informacion estrategica del negocio, como planes de venta, nuevo producto a lanzar, etc. Esta si cae en manos equivocadas, puede desencadenar problemas muy grandes, esta informacion no debe ser revelada a otros grupos de la empresa.
.
-Confidencial: Es informacion que debe mantenerse protegida, en cambio, esta informacion la pueden manejar diferentes grupos de la organizacion.
.
-Publica: Es informacion que puede ser encontrada en cualquier punto del escenario, no la afecta en casi nada.
.
-No Clasificada: Esta informacion no es clasificada, por lo tanto, no se conoce el potencial que esta tiene, por lo tanto, es mejor resguardarla antes que suceda algo malo.

**Clasificaci贸n de activos: **

Tienen como objetivo asegurar que la informaci贸n recibe los niveles de protecci贸n adecuados, ya que con base en su valor y de acuerdo a otras caracter铆sticas particulares requiere un tipo de manejo especial.

De acuerdo a la confidencialidad

掳 Altamente confidencial (Su divulgaci贸n genera gran riesgo para la compa帽铆a): Informaci贸n disponible solo para un proceso de la empresa y que en caso de ser conocida por terceros sin autorizaci贸n puede conllevar un impacto negativo de 铆ndole legal, operativa, de p茅rdida de imagen o econ贸mica.

掳 Confidencial ( Es perjudicial que caiga en manos equivocadas): Informaci贸n disponible para todos los procesos de la empresa y que en caso de ser conocido por terceros sin autorizaci贸n puede conllevar un impacto negativo para los procesos de la misma.

掳 P煤blica ( Cualquier individuos puede tener acceso): Informaci贸n que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la empresa, sin que esto implique da帽os a terceros ni a las actividades y procesos de la empresa.

掳 No clasificada (tratarla como altamente confidencial): activos de informaci贸n que deben ser incluidos en el inventario y que a煤n no ha sido clasificada. Debe ser tratado como activo ALTAMENTE CONFIDENCIAL.

De acuerdo a la integridad

掳 Alta (su p茅rdida o modificaci贸n genera gran impacto en la compa帽铆a): Informaci贸n cuya p茅rdida de exactitud y completitud puede conllevar un impacto negativo de 铆ndole legal o econ贸mica, retrasar sus funciones o generar p茅rdidas de imagen severas de la empresa.

掳 Media (Si se cambia alg煤n dato el da帽o es moderado): Informaci贸n cuya p茅rdida de exactitud y completitud puede conllevar un impacto negativo de 铆ndole legal o econ贸mica, retrasar sus funciones o generar p茅rdidas de imagen moderadas de la empresa.

掳 Baja (Su modificaci贸n no genera ning煤n riesgo): Informaci贸n cuya p茅rdida de exactitud y completitud puede conllevar un impacto no significativo para la empresa o entes externos.

掳 No clasificada (darle criterio de alta)

De acuerdo a la Disponibilidad

掳 Alta ( De no estar en el momento requerido, puede perjudicar la imagen de la compa帽铆a): La no disponibilidad de la informaci贸n puede conllevar un impacto negativo de 铆ndole legal o econ贸mico, retrasar sus funciones, o generar p茅rdidas de imagen severas a entes externos.

掳 Media ( Su no disponibilidad es de impacto moderado): La no disponibilidad de la informaci贸n puede conllevar un impacto negativo de 铆ndole legal o econ贸mico, retrasar sus funciones, o generar p茅rdidas de imagen moderadas de la empresa.
.
掳 Baja ( Genera un impacto leve): La no disponibilidad de la informaci贸n puede afectar la operaci贸n normal de la empresa o entre externos , pero no conlleva impactos legales, econ贸micos o de p茅rdida de imagen.

El profesor con esos tipos de ejemplos que nos proporciona aclara todos ya cada uno de los puntos a tratar. Gracias

Inventario de Activos de Informaci贸n

Debe documentarse en la matriz de inventario y valoraci贸n de activos de informaci贸n.

Clasificaci贸n de activos

De acuerdo a la confidencialidad
鈼 Altamente confidencial
鈼 Informaci贸n muy estrat茅gica del negocio
鈼 Confidencial
鈼 Informaci贸n disponible para los procesos sin afectar las estrategias del negocio
鈼 No todas las partes pueden conocerlo
鈼 P煤blica
鈼 Puede ser entregada sin restricciones a cualquier persona
鈼 No clasificada
鈼 Activos de informaci贸n que deben ser incluidos en el inventario y que a煤n no han sido clasificados.
鈼 !Deben ser tratados como altamente confidencial.

De acuerdo a la integridad
鈼 Alta
鈼 Informaci贸n que si es modificada puede afectar de forma legal, econ贸mica o de imagen
鈼 Solo debe ser modificado por el funcionario indicado
鈼 Media
鈼 Informaci贸n cuya p茅rdida de exactitud y completud puede da帽ar de forma moderada en alg煤n proceso o econ贸micamente
鈼 Baja
鈼 Informaci贸n cuya perdida de exactitud y completitud conlleva un impacto no significativo para la empresa o entes externos

De acuerdo a la disponibilidad
鈼 Alta
鈼 Informaci贸n necesaria en todo momento que sea requerido
鈼 Puede generar perdidas econ贸micas o de imagen
鈼 Media
鈼 Informaci贸n que de no tener al momento requerido se retrasan algunas funciones
鈼 Impacto moderado
鈼 Baja
鈼 Puede afectar la operaci贸n normal o entes externos
鈼 No genera impacto
鈼 No clasificada
鈼 Activos de informaci贸n que deben ser incluidos en el inventario y que a煤n no han sido clasificados.
鈼 !Deben ser tratados como altamente confidencial.

APUNTES DE ESTA CLASE Y LAS ANTERIORES EN ESTE LINK DE TRELLO!!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Para recordar: Aunque la informaci贸n no est茅 clasificada tenemos que darle ALTA PRIORIDAD.

## Clasificaci贸n de activos de informaci贸n Tiene como objetivo asegurar que le informaci贸n recibe los niveles de protecci贸n adecuados, ya que con base en su valor y de acuerdo a otras caracter铆sticas particulares requiere un tipo de manejo especial. Estos se clasifican seg煤n: * **Disponibilidad**: * **Alta:** La no disponibilidad de la informaci贸n puede conllevar un impacto negativo de 铆ndole legal o econ贸mico, retrasar sus funciones o generar p茅rdidas de imagen SEVERA a entes externos. * **Media**: La no disponibilidad de la informaci贸n puede conllevar un impacto negativo de 铆ndole legal o econ贸mico, retrasar sus funciones o generar p茅rdidas de imagen MODERADA de la empresa. * **Baja**: La no disponibilidad de la informaci贸n puede afectar la operaci贸n normal de la empresa o entes externos, pero no conlleva implicaciones de 铆ndole legal, econ贸mico o generar p茅rdidas de imagen. * **Integridad**: * **Alta**: Informaci贸n cuya p茅rdida de exactitud y completitud puede conllevar un impacto negativo de 铆ndole legal o econ贸mica, retrasar sus funciones, o generar p茅rdidas de imagen severas de la empresa. * **Media**: Informaci贸n cuya p茅rdida de exactitud y completitud puede conllevar un impacto negativo de 铆ndole legal o econ贸mica, retrasar sus funciones, o generar p茅rdidas de imagen moderadas de la empresa. * **Baja**: Informaci贸n cuya p茅rdida de exactitud y completitud puede conllevar un impacto no significativo en la empresa. * **No clasificada.** * **Confidencialidad**: * **Altamente confidencial**. (informaci贸n estrat茅gica del negocio) * **Confidencial**. (informaci贸n interna de la empresa) * **P煤blica**. * **No clasificada**. (Debe ser tratada como altamente confidencial).
## Clasificaci贸n de activos en el inventario La informaci贸n que se recoge en un inventario de activos var铆a dependiendo del alcance del mismo. Es recomendable que exista un equipo de seguridad encargado de su gesti贸n y actualizaci贸n, as铆 como de su revisi贸n anual y tras cada incorporaci贸n o eliminaci贸n de activos. Este equipo ser谩 responsable de tareas como definir, inventariar y categorizar los diferentes activos dentro de los sistemas de control, as铆 como de las redes internas y externas, seg煤n el alcance del inventario. El inventario debe tener un enfoque global que abarque todos los sistemas dentro de su alcance y debe incluir tanto PLC, DCS, SCADA, as铆 como los elementos de supervisi贸n como HMI y otros dispositivos y sistemas auxiliares. Para facilitar el manejo y mantenimiento del inventario, es conveniente clasificar los activos por categor铆as, seg煤n su naturaleza: * ***Datos:*** Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen. Bases de datos, documentaci贸n (manuales de usuario, contratos, normativas, etc.). * ***Aplicaciones:*** El software que se utiliza para la gesti贸n del proceso. Sistemas SCADA, herramientas de desarrollo de HMI, aplicativos desarrollados, sistemas operativos, firmware de dispositivos, etc. * ***Hardware industrial:*** Equipos f铆sicos necesarios para desarrollar la labor industrial (terminales remotas, PLC, IED, PC, servidores, dispositivos m贸viles o de mano, etc.) * ***Red:*** Dispositivos de conectividad de redes (routers, switches, concentradores, pasarelas, etc.) * ***Tecnolog铆a:*** Otros equipos necesarios para gestionar las personas y el negocio de la empresa (servidores, equipos de usuario, tel茅fonos, impresoras, routers, cableado, etc.). * ***Personal:*** En esta categor铆a se encuentra tanto la plantilla propia de la organizaci贸n como el personal subcontratado, personal de mantenimiento y, en general, todos aquellos que tengan acceso de una manera u otra a la industria. * ***Instalaciones:*** Lugares en los que se alojan los sistemas relevantes del sistema (oficinas, edificios, instalaciones el茅ctricas, veh铆culos, etc.). * ***Equipamiento auxiliar:*** En este tipo entrar铆an a formar parte todos aquellos activos que dan soporte a los sistemas de informaci贸n y que no se hallan en ninguno de los tipos anteriormente definidos (equipos de destrucci贸n de datos, equipos de climatizaci贸n, SAI, etc.). Fuente: <https://www.incibe.es/incibe-cert/blog/inventario-activos-y-gestion-seguridad-sci>

Clasificacion de activos en el INSTITUTO NACIONAL DE INVESTIGACI脫N Y DESARROLLO PESQUERO de argentina: https://www.argentina.gob.ar/sites/default/files/infoleg/res215-2.pdf
(pagina 4 y 5)

Disponibilidad baja: La no disponibilidad de la informaci贸n puede afectar la operaci贸n puede afectar la operaci贸n normal de la empresa o entes externos, pero no conlleva implicaciones legales, econ贸micas o de p茅rdida de imagen.

Disponibilidad Media: La no disponibilidad de la informaci贸n puede conllevar un impacto negativo de 铆ndole legal o econ贸mico, retrasar sus funciones, o generar perdidas de imagen moderado de la empresa.

Disponibilidad Alta: La no disponibilidad de la informaci贸n puede conllevar un impacto negativo de 铆ndole legal o econ贸mico, retrasar sus funciones, o generara p茅rdidas de imagen severas a entes externos.

Clasificaci贸n de acuerdo a la Disponibilidad.

Integridad Baja: Informaci贸n cuya perdida de exactitud y completitud conlleva un impacto no significativo para la empresa o entes externos.

Integridad Media: Informaci贸n cuya perdida de exactitud y completitud puede conllevar un impacto negativo de 铆ndole legal o econ贸mica, retrasar sus funciones, o generar p茅rdida de imagen moderado a funcionarios de la empresa.

Integridad Alta: Informaci贸n cuya perdida de exactitud y completitud puede conllevar un impacto negativo de 铆ndole legal o econ贸mica, retrasar sus funciones, o generar perdidas de imagen severas de la empresa. En este rubro tambi茅n entra la informaci贸n no clasificada.

Clasificaci贸n de acuerdo a la Integridad.

No clasificada: Acticos de Informaci贸n que deben de ser incluidos en el inventario y que aun no han sido clasificados. Deben de ser tratados como activos altamente confidenciales.

P煤blica: Informaci贸n que puede ser entregada o poblicada sin restricciones a cualquier persona dentro y fuera de la empresa, sin que esto implique da帽os a terceros ni a las actividades y procesos de la empresa.

Confidencial: Informaci贸n disponible para todos los procesos de la empresa y que en caso de ser conocida por terceros sin autorizaci贸n puede conllevar un impacto negativo para los procesos de la misma.

Altamente Confidencial: Informaci贸n disponible s贸lo para un proceso de la empresa y que wn caso de ser conocida por terceros sin autorizaci贸n puede conllevar un impacto negativo de 铆ndole legal, operativa, de p茅rdida de imagen o econ贸mica.

Clasificaci贸n de la informaci贸n de acuerdo a la confidencialidad.

les recomiendo un software que es muy facil de usar y cuenta con una versi贸n trial para que valores y la puedas adaptar a tu organizaci贸n https://appweb.pirani.co/

Excelente aporte, gracias

En su punto tambien es importante hacer una revision a la informacion contenida en extraibles o en papeles ya que muchas veces estos son olvidados con informacion valiosa

Alguien me puede dar ejemplos de Activos fisicos y no tangibles porfavor

El nivel de seguridad de la documentaci贸n est谩 dada por:
.Confidencialidad: La confidencialidad est谩 dada por el nivel de importancia del documento o registro para que su informaci贸n pueda ser consultada, revisada, con o sin autorizaci贸n del responsable del documento o registro
.Integridad: Este nivel abarca todo documento o Registro donde la veracidad de la informaci贸n es extremadamente importante y debe garantizarse bajo cualquier circunstancia.
.Disponibilidad: Este nivel abarca todo documento o Registro calificado como de consulta, y debe estar dispuesto para su revisi贸n

En la comunidad de la seguridad inform谩tica, las siglas 芦CIA禄 no tienen nada que ver con una cierta agencia de inteligencia estadounidense muy conocida. Estas tres letras significan confidencialidad, integridad y accesibilidad, tambi茅n conocidas como la triada de la CIA o triada de la informaci贸n.

驴donde puedo descargar u obtener toda la norma ISO 27001:2013?

Excelente!

Que bien explicado.

La ISO 27001 no te dice que tecnolog铆a que debes de utilizar ni la recurrencia de los backups.

Muy f谩cil de entender cada uno de los ejemplos de este curso. Hasta ahora me est谩 gustando mucho.