Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Reg铆strate

Comienza en:

3D
2H
22M
48S

Tratamiento de riesgo

16/39
Recursos

Aportes 25

Preguntas 9

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Tratamiento de Riesgo
掳 Mitigar: implementando controles
掳 Transferir: Tercerizar
掳 Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
掳 Evitar: dejar la actividad (El menos viable )
El Due帽o del Riesgo .- Persona con la autoridad de gestionar un riesgo

hola, podr铆as aclararme la relaci贸n que hay entre la ISO 73:2009, La ISO 31000 , la ISO 27005
Por favor

Puertos USB abiertos de los equipos de computo, permitiran usar a cualquier usuario como caballo de troya.
Facil acceso al datacenter local no cuenta con una cerradura o un control de acceso bien standarizado permitiendo el ingreso a cualquier persona

Yo no trabajo en alguna compa帽ia, pero soy un estudiante de media superior y considero que es bueno aprender sobre la gestion de seguridad.

Donde laboro existen todos los riesgos, no se aplican pol铆ticas de SI como tal

Pobre de mi cerebro jajaja

Un riesgo ya materializado en el 谩rea es el uso del Protocolo SMB01 para la utilizaci贸n de un file server antiguo donde a煤n respaldan informaci贸n. Los riesgos inherentes a este son las vulnerabilidades del mismo al ser un puerto inseguro del cual agentes maliciosos pueden suponer ventaja, la desactivaci贸n del mismo y el traslado de toda esta informaci贸n supone una manera de poder mitigar el riesgo.

Que sucede cuando a un riesgo se lo puede tratar de diferentes maneras? Se opta por aquella que lo minimice m谩s o se describen todas las opciones?

Tratamiento de riesgos:
Mitigar: Busca reducir la probabilidad de ocurrencia del riesgo o reducir el impacto que pueda causar.
.Evitar :Cambiar el plan de gesti贸n del proyecto para eliminar la amenaza que representa un riesgo adverso, aislar los objetivos del proyecto del impacto del riesgo o disminuir el objetivo que est谩 en peligro.
.Transferir: Trasladar el impacto negativo de una amenaza y la responsabilidad del mismo a un tercero para su gesti贸n.
.Asumir: Aceptar el riesgo y las respectivas consecuencias.

-fuga de informaci贸n valiosa en t茅rminos de producci贸n y dise帽o exclusivo de la empresa.
-robo de informaci贸n de bases de datos sobre informaci贸n personal de empleados
-paralizaci贸n total de la producci贸n por medio de ataques de ingenier铆a social al personal debido a falta de consientizacion y educaci贸n sobre peligros de Internet.

El riesgo m谩s importante de mi compa帽铆a es la fuga de informaci贸n y la modificaci贸n de la misma, son riesgos inherentes por un tema que se comparte la informaci贸n con varios funcionarios para la ejecuci贸n de otros procesos, sin embargo, estos no guardan la informaci贸n de forma adecuada.

Uno de los riesgos en la instituci贸n en donde laboro, es la
fuga de informaci贸n por medio de dispositivos electr贸nicos;
existen ciertos privilegios al personal administrativo,
los puertos usb y acceso a redes sociales, est谩n habilitados; y esto puede mal utilizarse, puede ser causal del robo de informaci贸n sensible.
Probabilidad: Ocasional (3)
Impacto: Alto(5)

En muchas ocasiones los usuarios infectan de virus los equipos o a veces sin autorizaci贸n restablecen los equipos y hacen sus propias configuraciones, nada les funciona y vienen aqu铆 a reclamar lo que ellos provocaron ._.

TRATAMIENTO DE RIESGOS:

Proceso de selecci贸n y puesta en aplicaci贸n de medidas para modificar el riesgo.

El t茅rmino 鈥渢ratamiento de riesgos鈥 se utiliza a veces para las propias medidas. El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. (Guia ISO 73:2009)
**
*Mitigar: **Implementar controles

***Transferir: **Cederlo a un tercero (P贸lizas de seguro)

*Aceptar: No hacer nada (Quienes puedes tomar la decisi贸n de aceptar los riesgos deben ser los gerentes, alta gerencia鈥acer acta de aceptaci贸n como soporte de la ISO 27001)

*Evitar: Dejar de hacer la actividad

El due帽o del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (Gu铆a ISO 73:2009)

Tratamiento de riesgo

Proceso de selecci贸n y puesta en aplicacion de medidas para modificar el riesgo.
El termino 鈥渢ratamiento de riesgo鈥 se utiliza a veces para las propias medidas.
El tratamiento del riesgo puede originar nuevos riesgo o modificar los riesgos existentes.
(Guia ISO 73:2009)

  • Mitigar: implementando controles
  • Transferir: Tercerizar
  • Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
  • Evitar: dejar la actividad (El menos viable )

El Due帽o del Riesgo
Persona o entidad que tiene la responsabilidad y la autoridad para gestionar un riesgo.
(Guia ISO 73:2009)

  • Mitigar -> Implementar controles 鉁
  • Transferir -> Cederlo a un tercero (p贸lizas de seguro)
  • Aceptar -> No hacer nada 鉂椻潓
  • Evitar -> Dejar de hacer la actividad 鉂

R1:Usuario deja pc sin bloquear y sale de oficina
Probabilidad: Ocasional (3)
Impacto: Alto(5)
R1= Alto

Crear campa帽as de capacitaci贸n a los usuarios resaltando las consecuencias que puede ocasionar este tipo de acciones dado que se puede presentar suplantaci贸n de identidad y fuga de informaci贸n desde alta hasta baja.

riesgos que observo en mi enpresa son:
fuga de informacion por puertos usb. y perdida de equipos xq no estan encriptados.

Buena clase 馃榾

Entonces residual seria para los riesgos que si tienen control como el seguro para el auto ?

Analizando el entorno en el que me encuentro, se evidencia riesgos en perdida de lotes de informaci贸n, perdida de actividades productivas, perdida de tiempo, contagios por covid, entre otros. Hay un pilar de opciones de mitigaci贸n de riesgo.

en mi empresa :
-No puedes poner usb o almanaciento externo , per貌 se creas una nueva cuenta separada del trabajo , si (riesgo bajo) ;
-token de segurida para aceder al usuario ;
Al final estamos bien . Solo con ingenieria social seri脿 un problema , creo .

Uno de los riesgos en la compa帽矛a en que trabajo es que cualquier persona introduzca un almacenamiento externo a las PC y distribuya malware o extraiga informaci贸n importante. Yo diria que el riesgo es alto, ya que ocasionalmente usan USB para musica o transferir archivos, y el impacto de que se distribuya un malware podr铆a cesar las actividades de la empresa y hacer que se incurran en gastos altos.