Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Inventario de activos de información

12/39
Recursos

Aportes 41

Preguntas 7

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

De acuerdo a la confidencialidad
° Altamente confidencial (Su divulgación genera gran riesgo para la compañía)
° Confidencial ( Es perjudicial que caiga en manos equivocadas)
° Pública ( Cualquier individuos puede tener acceso)
° No clasificada (tratarla como altamente confidencial)
De acuerdo a la integridad
° Alta (su perdida o modificación genera gran impacto en la compañía)
° Media (Si se cambia algún dato el daño es moderado)
° Baja (Su modificación no genera ningún riesgo)
° No clasificada (darle criterio de alta)
De acuerdo a la Disponibilidad
° Alta (de no estar en el momento requerido, puede perjudicar la imagen de la compañía)
° Media ( Su no disponibilidad es de impacto moderado )
° Baja ( Genera un impacto leve)

A continuación presento los ítems requeridos en Colombia para realizar el inventariado de activos

Que tipos de informacion existe, segun la INTEGRIDAD?
.
Integridad Alta: nformacion que si se modifica, generara un fuerte impacto en cualquier indole, economico, social, etc. Por ejemplo, si por un error, se cambia el precio de un telefono a 1 dolar.
.
Integridad media:Informacion que si se modifica, no sera tan grave como la Alta, pero de debe proteger de cualquier forma.
.
Integridad baja: Informacion que se encuentra de manera sencilla, la cual no conlleva un impacto no significativo.
.
Integridad no clasificada: Manejada como alta, debido a que no se conoce su potencial.

Que tipos de informacion existe, segun la DISPONIBILIDAD?
.
Disponibilidad Alta: Conlleva un impacto negativo, tales como indole legal o economica, retrasaria funciones o generaria perdidas.
.
Disponibilidad Media: Conlleva un impacto moderado, generaria molestias pero que no fundiria una empresa.
.
Disponibilidad Baja: No afecta ningun proceso de la empresa debido a que no genera ningun impacto si esa informacion se encuentra o no.
.
Disponibilidad no clasificada: Manejada como alta, debido a que no se conoce su potencial.

Como clasifico la informacion?
La informacion la podes clasificar segun la triada de informacion (confidencialidad, integridad y disponibilidad).
.
Esto tiene como objetivo asegurar que la informacion recibe los niveles de proteccion adecuados, ya que de acuerdo a otras caracteristicas, cada una requiere un manejo especial.

Que tipo de informacion existe?
existen algunos tipos de tipos:
.
-Altamente confidencial: Es la informacion estrategica del negocio, como planes de venta, nuevo producto a lanzar, etc. Esta si cae en manos equivocadas, puede desencadenar problemas muy grandes, esta informacion no debe ser revelada a otros grupos de la empresa.
.
-Confidencial: Es informacion que debe mantenerse protegida, en cambio, esta informacion la pueden manejar diferentes grupos de la organizacion.
.
-Publica: Es informacion que puede ser encontrada en cualquier punto del escenario, no la afecta en casi nada.
.
-No Clasificada: Esta informacion no es clasificada, por lo tanto, no se conoce el potencial que esta tiene, por lo tanto, es mejor resguardarla antes que suceda algo malo.

**Clasificación de activos: **

Tienen como objetivo asegurar que la información recibe los niveles de protección adecuados, ya que con base en su valor y de acuerdo a otras características particulares requiere un tipo de manejo especial.

De acuerdo a la confidencialidad

° Altamente confidencial (Su divulgación genera gran riesgo para la compañía): Información disponible solo para un proceso de la empresa y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.

° Confidencial ( Es perjudicial que caiga en manos equivocadas): Información disponible para todos los procesos de la empresa y que en caso de ser conocido por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma.

° Pública ( Cualquier individuos puede tener acceso): Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la empresa, sin que esto implique daños a terceros ni a las actividades y procesos de la empresa.

° No clasificada (tratarla como altamente confidencial): activos de información que deben ser incluidos en el inventario y que aún no ha sido clasificada. Debe ser tratado como activo ALTAMENTE CONFIDENCIAL.

De acuerdo a la integridad

° Alta (su pérdida o modificación genera gran impacto en la compañía): Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones o generar pérdidas de imagen severas de la empresa.

° Media (Si se cambia algún dato el daño es moderado): Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones o generar pérdidas de imagen moderadas de la empresa.

° Baja (Su modificación no genera ningún riesgo): Información cuya pérdida de exactitud y completitud puede conllevar un impacto no significativo para la empresa o entes externos.

° No clasificada (darle criterio de alta)

De acuerdo a la Disponibilidad

° Alta ( De no estar en el momento requerido, puede perjudicar la imagen de la compañía): La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económico, retrasar sus funciones, o generar pérdidas de imagen severas a entes externos.

° Media ( Su no disponibilidad es de impacto moderado): La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económico, retrasar sus funciones, o generar pérdidas de imagen moderadas de la empresa.
.
° Baja ( Genera un impacto leve): La no disponibilidad de la información puede afectar la operación normal de la empresa o entre externos , pero no conlleva impactos legales, económicos o de pérdida de imagen.

El profesor con esos tipos de ejemplos que nos proporciona aclara todos ya cada uno de los puntos a tratar. Gracias

Inventario de Activos de Información

Debe documentarse en la matriz de inventario y valoración de activos de información.

Clasificación de activos

De acuerdo a la confidencialidad
● Altamente confidencial
○ Información muy estratégica del negocio
● Confidencial
○ Información disponible para los procesos sin afectar las estrategias del negocio
○ No todas las partes pueden conocerlo
● Pública
○ Puede ser entregada sin restricciones a cualquier persona
● No clasificada
○ Activos de información que deben ser incluidos en el inventario y que aún no han sido clasificados.
○ !Deben ser tratados como altamente confidencial.

De acuerdo a la integridad
● Alta
○ Información que si es modificada puede afectar de forma legal, económica o de imagen
○ Solo debe ser modificado por el funcionario indicado
● Media
○ Información cuya pérdida de exactitud y completud puede dañar de forma moderada en algún proceso o económicamente
● Baja
○ Información cuya perdida de exactitud y completitud conlleva un impacto no significativo para la empresa o entes externos

De acuerdo a la disponibilidad
● Alta
○ Información necesaria en todo momento que sea requerido
○ Puede generar perdidas económicas o de imagen
● Media
○ Información que de no tener al momento requerido se retrasan algunas funciones
○ Impacto moderado
● Baja
○ Puede afectar la operación normal o entes externos
○ No genera impacto
● No clasificada
○ Activos de información que deben ser incluidos en el inventario y que aún no han sido clasificados.
○ !Deben ser tratados como altamente confidencial.

APUNTES DE ESTA CLASE Y LAS ANTERIORES EN ESTE LINK DE TRELLO!!
https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Para recordar: Aunque la información no esté clasificada tenemos que darle ALTA PRIORIDAD.

Clasificación de activos de información Lograr tener un detalle lo más completo posible de que información fluye en todos los procesos organizacionales (información estructurada, o posiblemente no estructurada). Tiene como objetivo asegurar que la información recibe los niveles de protección adecuados, ya que con base en su valor y de acuerdo a otras características particulares requiere un tipo de manejo especial. La información se debe clasificar de acuerdo a la triada CID.
## Clasificación de activos de información Tiene como objetivo asegurar que le información recibe los niveles de protección adecuados, ya que con base en su valor y de acuerdo a otras características particulares requiere un tipo de manejo especial. Estos se clasifican según: * **Disponibilidad**: * **Alta:** La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económico, retrasar sus funciones o generar pérdidas de imagen SEVERA a entes externos. * **Media**: La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económico, retrasar sus funciones o generar pérdidas de imagen MODERADA de la empresa. * **Baja**: La no disponibilidad de la información puede afectar la operación normal de la empresa o entes externos, pero no conlleva implicaciones de índole legal, económico o generar pérdidas de imagen. * **Integridad**: * **Alta**: Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas de la empresa. * **Media**: Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen moderadas de la empresa. * **Baja**: Información cuya pérdida de exactitud y completitud puede conllevar un impacto no significativo en la empresa. * **No clasificada.** * **Confidencialidad**: * **Altamente confidencial**. (información estratégica del negocio) * **Confidencial**. (información interna de la empresa) * **Pública**. * **No clasificada**. (Debe ser tratada como altamente confidencial).
## Clasificación de activos en el inventario La información que se recoge en un inventario de activos varía dependiendo del alcance del mismo. Es recomendable que exista un equipo de seguridad encargado de su gestión y actualización, así como de su revisión anual y tras cada incorporación o eliminación de activos. Este equipo será responsable de tareas como definir, inventariar y categorizar los diferentes activos dentro de los sistemas de control, así como de las redes internas y externas, según el alcance del inventario. El inventario debe tener un enfoque global que abarque todos los sistemas dentro de su alcance y debe incluir tanto PLC, DCS, SCADA, así como los elementos de supervisión como HMI y otros dispositivos y sistemas auxiliares. Para facilitar el manejo y mantenimiento del inventario, es conveniente clasificar los activos por categorías, según su naturaleza: * ***Datos:*** Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen. Bases de datos, documentación (manuales de usuario, contratos, normativas, etc.). * ***Aplicaciones:*** El software que se utiliza para la gestión del proceso. Sistemas SCADA, herramientas de desarrollo de HMI, aplicativos desarrollados, sistemas operativos, firmware de dispositivos, etc. * ***Hardware industrial:*** Equipos físicos necesarios para desarrollar la labor industrial (terminales remotas, PLC, IED, PC, servidores, dispositivos móviles o de mano, etc.) * ***Red:*** Dispositivos de conectividad de redes (routers, switches, concentradores, pasarelas, etc.) * ***Tecnología:*** Otros equipos necesarios para gestionar las personas y el negocio de la empresa (servidores, equipos de usuario, teléfonos, impresoras, routers, cableado, etc.). * ***Personal:*** En esta categoría se encuentra tanto la plantilla propia de la organización como el personal subcontratado, personal de mantenimiento y, en general, todos aquellos que tengan acceso de una manera u otra a la industria. * ***Instalaciones:*** Lugares en los que se alojan los sistemas relevantes del sistema (oficinas, edificios, instalaciones eléctricas, vehículos, etc.). * ***Equipamiento auxiliar:*** En este tipo entrarían a formar parte todos aquellos activos que dan soporte a los sistemas de información y que no se hallan en ninguno de los tipos anteriormente definidos (equipos de destrucción de datos, equipos de climatización, SAI, etc.). Fuente: <https://www.incibe.es/incibe-cert/blog/inventario-activos-y-gestion-seguridad-sci>

Clasificacion de activos en el INSTITUTO NACIONAL DE INVESTIGACIÓN Y DESARROLLO PESQUERO de argentina: https://www.argentina.gob.ar/sites/default/files/infoleg/res215-2.pdf
(pagina 4 y 5)

Disponibilidad baja: La no disponibilidad de la información puede afectar la operación puede afectar la operación normal de la empresa o entes externos, pero no conlleva implicaciones legales, económicas o de pérdida de imagen.

Disponibilidad Media: La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económico, retrasar sus funciones, o generar perdidas de imagen moderado de la empresa.

Disponibilidad Alta: La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económico, retrasar sus funciones, o generara pérdidas de imagen severas a entes externos.

Clasificación de acuerdo a la Disponibilidad.

Integridad Baja: Información cuya perdida de exactitud y completitud conlleva un impacto no significativo para la empresa o entes externos.

Integridad Media: Información cuya perdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderado a funcionarios de la empresa.

Integridad Alta: Información cuya perdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar perdidas de imagen severas de la empresa. En este rubro también entra la información no clasificada.

Clasificación de acuerdo a la Integridad.

No clasificada: Acticos de Información que deben de ser incluidos en el inventario y que aun no han sido clasificados. Deben de ser tratados como activos altamente confidenciales.

Pública: Información que puede ser entregada o poblicada sin restricciones a cualquier persona dentro y fuera de la empresa, sin que esto implique daños a terceros ni a las actividades y procesos de la empresa.

Confidencial: Información disponible para todos los procesos de la empresa y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma.

Altamente Confidencial: Información disponible sólo para un proceso de la empresa y que wn caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.

Clasificación de la información de acuerdo a la confidencialidad.

les recomiendo un software que es muy facil de usar y cuenta con una versión trial para que valores y la puedas adaptar a tu organización https://appweb.pirani.co/

Excelente aporte, gracias

En su punto tambien es importante hacer una revision a la informacion contenida en extraibles o en papeles ya que muchas veces estos son olvidados con informacion valiosa

Alguien me puede dar ejemplos de Activos fisicos y no tangibles porfavor

El nivel de seguridad de la documentación está dada por:
.Confidencialidad: La confidencialidad está dada por el nivel de importancia del documento o registro para que su información pueda ser consultada, revisada, con o sin autorización del responsable del documento o registro
.Integridad: Este nivel abarca todo documento o Registro donde la veracidad de la información es extremadamente importante y debe garantizarse bajo cualquier circunstancia.
.Disponibilidad: Este nivel abarca todo documento o Registro calificado como de consulta, y debe estar dispuesto para su revisión

En la comunidad de la seguridad informática, las siglas «CIA» no tienen nada que ver con una cierta agencia de inteligencia estadounidense muy conocida. Estas tres letras significan confidencialidad, integridad y accesibilidad, también conocidas como la triada de la CIA o triada de la información.

¿donde puedo descargar u obtener toda la norma ISO 27001:2013?

Excelente!

Que bien explicado.

La ISO 27001 no te dice que tecnología que debes de utilizar ni la recurrencia de los backups.

Muy fácil de entender cada uno de los ejemplos de este curso. Hasta ahora me está gustando mucho.