Introducción a la norma ISO 27001
Preparación para Auditoría Interna ISO 27001
Historia y Evolución de la Norma ISO 27001 hasta 2019
Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad
Sistema de Gestión de Seguridad según la Norma ISO 27001
Contenido de la norma
Terminología clave de la norma ISO 27001
Norma ISO 27001: Gestión de Seguridad de la Información
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
Implementación de la Norma ISO 27001: Recursos y Competencias
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
Gestión de Riesgos
Gestión de Riesgos y Clasificación de Activos de Información
Clasificación de Activos de Información en Excel
Creación de Plantilla de Gestión de Activos de Información en Excel
Clasificación de Activos de Información en Excel
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
Controles para Mitigar Riesgos según ISO 27001
Construcción de Matriz de Riesgos para Gestión Empresarial
Gestión de Controles en Matrices de Riesgos en Excel
Modelo de Tres Líneas de Defensa en Seguridad de la Información
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
Controles de seguridad: Políticas y controles de acceso
Controles de Seguridad en la Gestión de la Información ISO 27001
Controles de Acceso y Criptografía en ISO 27001
Controles de seguridad: Operaciones y Comunicaciones
Controles de Seguridad Física y del Entorno en ISO 27001
Seguridad de las Operaciones según ISO 27001
Seguridad de las Comunicaciones en Redes Empresariales
Controles de seguridad: Sistemas de información
Controles de Seguridad en el Desarrollo de Software bajo ISO 27001
Seguridad en el Desarrollo de Software según OWASP Top 10
Gestión de Proveedores e Incidentes de Seguridad en ISO 27001
Controles de Continuidad y Cumplimiento en Seguridad de la Información
Auditoría
Auditoría de Sistemas de Seguridad según ISO 27001
Terminología de Auditoría según ISO 27001
Fases de una Auditoría: Paso a Paso para su Ejecución
Auditoría ISO 27001: Identificación y Reporte de No Conformidades
Reporte de No Conformidades en Auditoría ISO 27001
Gestión de la Continuidad del Negocio
Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001
Construcción de un Plan de Continuidad de Negocio
Cierre del curso
Examen Simulacro de ISO 27001: Seguridad de la Información
Certificación y Feedback en ISO 27001: Próximos Pasos
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Si ya tienes una cuenta,
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
16/39Recursos
¿Cómo ubicar riesgos en un mapa de calor?
Ubicar riesgos en un mapa de calor es fundamental para la gestión efectiva de los mismos. El proceso comienza identificando los riesgos y luego asignándoles códigos únicos para una fácil identificación. Una vez definidos el impacto y la probabilidad de cada uno, se deben trasladar al mapa de calor para visualizar su posición y gravedad.
- Impacto y probabilidad: Cada riesgo debe estar categorizado según su impacto y su probabilidad. Por ejemplo, un impacto crítico y una probabilidad moderada ubicaría al riesgo en un área de atención media dentro del mapa de calor.
- Mapa de calor inicial e inherente: La primera imagen del mapa de calor muestra los riesgos sin control; es esencial capturar esta versión para luego compararla con el mapa residual, que incluirá las medidas de control aplicadas.
¿Cómo tratar los riesgos de forma efectiva?
El tratamiento de riesgos implica elegir y aplicar medidas que modifiquen los riesgos, no eliminarlos, pero sí alterar su impacto o probabilidad.
- Mitigación: Implementar controles específicos, como bloquear puertos USB o limitar la navegación en internet, para minimizar la fuga de información.
- Transferencia: Delegar la gestión del riesgo a terceros, como aseguradoras o subcontratistas, sin olvidar que los riesgos asociados a estas transferencias también requieren gestión.
- Aceptación: Decidir no hacer nada ante ciertos riesgos, aunque esta decisión debe ser tomada por la alta gerencia y basada en una evaluación clara y documentada.
- Evitar: Dejar de realizar una actividad específica para evitar riesgos, aunque esto es raro en la práctica organizacional.
¿Cuál es el papel del dueño del riesgo?
El dueño del riesgo es quien lleva a cabo la actividad relacionada con ese riesgo en particular. Según la ISO 31000, se define como la persona o entidad responsable de gestionar un riesgo específico. Es crucial que esta persona entienda su rol y el impacto potencial del riesgo en su área operativa.
- Concienciación y capacitación: Educar a los dueños del riesgo sobre su responsabilidad es vital para asegurar una gestión efectiva.
- Colaboración con tecnología: Aunque el control puede implementarse con la ayuda de tecnología, la responsabilidad última recae en el área que realiza la actividad relacionada con el riesgo.
Comprender y aplicar estos conceptos en la gestión de riesgos permitirá a las organizaciones no solo visualizar mejor sus riesgos, sino también implementar estrategias más efectivas para manejarlos. Te invito a identificar los riesgos en tu entorno laboral actual y reflexionar sobre su probabilidad e impacto. Esto te ayudará a prepararte para la próxima clase, donde profundizaremos en los controles y su papel crucial en la reducción de riesgos.
Aportes 29
Preguntas 9
Ordenar por:
Tratamiento de Riesgo
° Mitigar: implementando controles
° Transferir: Tercerizar
° Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
° Evitar: dejar la actividad (El menos viable )
El Dueño del Riesgo .- Persona con la autoridad de gestionar un riesgo
hola, podrías aclararme la relación que hay entre la ISO 73:2009, La ISO 31000 , la ISO 27005
Por favor
Tratamiento de riesgos:
Mitigar: Busca reducir la probabilidad de ocurrencia del riesgo o reducir el impacto que pueda causar.
.Evitar :Cambiar el plan de gestión del proyecto para eliminar la amenaza que representa un riesgo adverso, aislar los objetivos del proyecto del impacto del riesgo o disminuir el objetivo que está en peligro.
.Transferir: Trasladar el impacto negativo de una amenaza y la responsabilidad del mismo a un tercero para su gestión.
.Asumir: Aceptar el riesgo y las respectivas consecuencias.
Puertos USB abiertos de los equipos de computo, permitiran usar a cualquier usuario como caballo de troya.
Facil acceso al datacenter local no cuenta con una cerradura o un control de acceso bien standarizado permitiendo el ingreso a cualquier persona
TRATAMIENTO DE RIESGOS:
Proceso de selección y puesta en aplicación de medidas para modificar el riesgo.
El término “tratamiento de riesgos” se utiliza a veces para las propias medidas. El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. (Guia ISO 73:2009)
**
*Mitigar: **Implementar controles
***Transferir: **Cederlo a un tercero (Pólizas de seguro)
*Aceptar: No hacer nada (Quienes puedes tomar la decisión de aceptar los riesgos deben ser los gerentes, alta gerencia…hacer acta de aceptación como soporte de la ISO 27001)
*Evitar: Dejar de hacer la actividad
El dueño del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (Guía ISO 73:2009)
Yo no trabajo en alguna compañia, pero soy un estudiante de media superior y considero que es bueno aprender sobre la gestion de seguridad.
Donde laboro existen todos los riesgos, no se aplican políticas de SI como tal
Tratamiento de riesgo
Proceso de selección y puesta en aplicacion de medidas para modificar el riesgo.
El termino “tratamiento de riesgo” se utiliza a veces para las propias medidas.
El tratamiento del riesgo puede originar nuevos riesgo o modificar los riesgos existentes.
(Guia ISO 73:2009)
- Mitigar: implementando controles
- Transferir: Tercerizar
- Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
- Evitar: dejar la actividad (El menos viable )
El Dueño del Riesgo
Persona o entidad que tiene la responsabilidad y la autoridad para gestionar un riesgo.
(Guia ISO 73:2009)
Tratamiento de riesgos
Proceso de selección y puesta en aplicación de medidas para modificar el riesgo.
El término “tratamiento de riesgos” se utiliza a veces para las propias medidas.
El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes.
Guía ISO 73:2009
● Mitigar
○ Implementar controles
● Transferir
○ Cederlo a un tercero
● Aceptar
○ No hacer nada
● Evitar
○ Dejar de hacer la actividad
El dueño del riesgo
Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo.
[Guía ISO 73:2009]
Prácticamente l que maneja esa área
Pobre de mi cerebro jajaja
Un riesgo ya materializado en el área es el uso del Protocolo SMB01 para la utilización de un file server antiguo donde aún respaldan información. Los riesgos inherentes a este son las vulnerabilidades del mismo al ser un puerto inseguro del cual agentes maliciosos pueden suponer ventaja, la desactivación del mismo y el traslado de toda esta información supone una manera de poder mitigar el riesgo.
Que sucede cuando a un riesgo se lo puede tratar de diferentes maneras? Se opta por aquella que lo minimice más o se describen todas las opciones?
-fuga de información valiosa en términos de producción y diseño exclusivo de la empresa.
-robo de información de bases de datos sobre información personal de empleados
-paralización total de la producción por medio de ataques de ingeniería social al personal debido a falta de consientizacion y educación sobre peligros de Internet.
El riesgo más importante de mi compañía es la fuga de información y la modificación de la misma, son riesgos inherentes por un tema que se comparte la información con varios funcionarios para la ejecución de otros procesos, sin embargo, estos no guardan la información de forma adecuada.
Dueño del riesgo:
**El propietario es el responsable del riesgo**. Al asignar esa responsabilidad nos aseguramos de que alguien en la organización sea el encargado de desarrollar un plan de respuesta ante dicho riesgo.
En la compañia donde trabajo todo es demasiado documental, casi nada se maneja en digital, es sumamente engorroso toma demasiado tiempo desde actas de mantenimiento que se envian a personas en campo que dificilmente tiene como imprimir firmar y escanear para devolver el acta, hasta la asignacion de equipos y perifericos.
actualmente estoy en control interno y existen riesgos de todo tipo desde filtración de información estratégica hasta riesgos reputacionales.
Uno de los riesgos en la institución en donde laboro, es la
fuga de información por medio de dispositivos electrónicos;
existen ciertos privilegios al personal administrativo,
los puertos usb y acceso a redes sociales, están habilitados; y esto puede mal utilizarse, puede ser causal del robo de información sensible.
Probabilidad: Ocasional (3)
Impacto: Alto(5)
En muchas ocasiones los usuarios infectan de virus los equipos o a veces sin autorización restablecen los equipos y hacen sus propias configuraciones, nada les funciona y vienen aquí a reclamar lo que ellos provocaron ._.
- Mitigar -> Implementar controles ✅
- Transferir -> Cederlo a un tercero (pólizas de seguro)
- Aceptar -> No hacer nada ❗❌
- Evitar -> Dejar de hacer la actividad ❌
R1:Usuario deja pc sin bloquear y sale de oficina
Probabilidad: Ocasional (3)
Impacto: Alto(5)
R1= Alto
Crear campañas de capacitación a los usuarios resaltando las consecuencias que puede ocasionar este tipo de acciones dado que se puede presentar suplantación de identidad y fuga de información desde alta hasta baja.
riesgos que observo en mi enpresa son:
fuga de informacion por puertos usb. y perdida de equipos xq no estan encriptados.
Buena clase 😀
Entonces residual seria para los riesgos que si tienen control como el seguro para el auto ?
Analizando el entorno en el que me encuentro, se evidencia riesgos en perdida de lotes de información, perdida de actividades productivas, perdida de tiempo, contagios por covid, entre otros. Hay un pilar de opciones de mitigación de riesgo.
en mi empresa :
-No puedes poner usb o almanaciento externo , però se creas una nueva cuenta separada del trabajo , si (riesgo bajo) ;
-token de segurida para aceder al usuario ;
Al final estamos bien . Solo con ingenieria social serià un problema , creo .
Uno de los riesgos en la compañìa en que trabajo es que cualquier persona introduzca un almacenamiento externo a las PC y distribuya malware o extraiga información importante. Yo diria que el riesgo es alto, ya que ocasionalmente usan USB para musica o transferir archivos, y el impacto de que se distribuya un malware podría cesar las actividades de la empresa y hacer que se incurran en gastos altos.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?