Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Inventario de activos de información

12/39
Recursos

Aportes 21

Preguntas 7

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

De acuerdo a la confidencialidad
° Altamente confidencial (Su divulgación genera gran riesgo para la compañía)
° Confidencial ( Es perjudicial que caiga en manos equivocadas)
° Pública ( Cualquier individuos puede tener acceso)
° No clasificada (tratarla como altamente confidencial)
De acuerdo a la integridad
° Alta (su perdida o modificación genera gran impacto en la compañía)
° Media (Si se cambia algún dato el daño es moderado)
° Baja (Su modificación no genera ningún riesgo)
° No clasificada (darle criterio de alta)
De acuerdo a la Disponibilidad
° Alta (de no estar en el momento requerido, puede perjudicar la imagen de la compañía)
° Media ( Su no disponibilidad es de impacto moderado )
° Baja ( Genera un impacto leve)

A continuación presento los ítems requeridos en Colombia para realizar el inventariado de activos

El profesor con esos tipos de ejemplos que nos proporciona aclara todos ya cada uno de los puntos a tratar. Gracias

APUNTES DE ESTA CLASE Y LAS ANTERIORES EN ESTE LINK DE TRELLO!!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Como clasifico la informacion?
La informacion la podes clasificar segun la triada de informacion (confidencialidad, integridad y disponibilidad).
.
Esto tiene como objetivo asegurar que la informacion recibe los niveles de proteccion adecuados, ya que de acuerdo a otras caracteristicas, cada una requiere un manejo especial.

Que tipos de informacion existe, segun la INTEGRIDAD?
.
Integridad Alta: nformacion que si se modifica, generara un fuerte impacto en cualquier indole, economico, social, etc. Por ejemplo, si por un error, se cambia el precio de un telefono a 1 dolar.
.
Integridad media:Informacion que si se modifica, no sera tan grave como la Alta, pero de debe proteger de cualquier forma.
.
Integridad baja: Informacion que se encuentra de manera sencilla, la cual no conlleva un impacto no significativo.
.
Integridad no clasificada: Manejada como alta, debido a que no se conoce su potencial.

Que tipos de informacion existe, segun la DISPONIBILIDAD?
.
Disponibilidad Alta: Conlleva un impacto negativo, tales como indole legal o economica, retrasaria funciones o generaria perdidas.
.
Disponibilidad Media: Conlleva un impacto moderado, generaria molestias pero que no fundiria una empresa.
.
Disponibilidad Baja: No afecta ningun proceso de la empresa debido a que no genera ningun impacto si esa informacion se encuentra o no.
.
Disponibilidad no clasificada: Manejada como alta, debido a que no se conoce su potencial.

Para recordar: Aunque la información no esté clasificada tenemos que darle ALTA PRIORIDAD.

Excelente aporte, gracias

Que tipo de informacion existe?
existen algunos tipos de tipos:
.
-Altamente confidencial: Es la informacion estrategica del negocio, como planes de venta, nuevo producto a lanzar, etc. Esta si cae en manos equivocadas, puede desencadenar problemas muy grandes, esta informacion no debe ser revelada a otros grupos de la empresa.
.
-Confidencial: Es informacion que debe mantenerse protegida, en cambio, esta informacion la pueden manejar diferentes grupos de la organizacion.
.
-Publica: Es informacion que puede ser encontrada en cualquier punto del escenario, no la afecta en casi nada.
.
-No Clasificada: Esta informacion no es clasificada, por lo tanto, no se conoce el potencial que esta tiene, por lo tanto, es mejor resguardarla antes que suceda algo malo.

En su punto tambien es importante hacer una revision a la informacion contenida en extraibles o en papeles ya que muchas veces estos son olvidados con informacion valiosa

Alguien me puede dar ejemplos de Activos fisicos y no tangibles porfavor

El nivel de seguridad de la documentación está dada por:
.Confidencialidad: La confidencialidad está dada por el nivel de importancia del documento o registro para que su información pueda ser consultada, revisada, con o sin autorización del responsable del documento o registro
.Integridad: Este nivel abarca todo documento o Registro donde la veracidad de la información es extremadamente importante y debe garantizarse bajo cualquier circunstancia.
.Disponibilidad: Este nivel abarca todo documento o Registro calificado como de consulta, y debe estar dispuesto para su revisión

En la comunidad de la seguridad informática, las siglas «CIA» no tienen nada que ver con una cierta agencia de inteligencia estadounidense muy conocida. Estas tres letras significan confidencialidad, integridad y accesibilidad, también conocidas como la triada de la CIA o triada de la información.

¿donde puedo descargar u obtener toda la norma ISO 27001:2013?

Excelente!

Que bien explicado.

La ISO 27001 no te dice que tecnología que debes de utilizar ni la recurrencia de los backups.

Muy fácil de entender cada uno de los ejemplos de este curso. Hasta ahora me está gustando mucho.