Introducción a la norma ISO 27001
Qué aprenderás sobre la norma ISO 27001
Historia de la norma ISO27001
Principios generales de la seguridad de la información
El Sistema de Gestión de Seguridad de la Información
Contenido de la norma
Términos y definiciones
¿En qué consiste la ISO27001?
Liderazgo y planificación
Soporte, operación, evaluación y mejora
Introducción al anexo A
Últimos elementos del anexo A
Gestión de Riesgos
Clasificación de los activos de información
Inventario de activos de información
Laboratorio: construyendo una matriz de activos de información
Finalizar la revisión de la matriz de activos de información
Niveles de riesgo
Tratamiento de riesgo
Los controles
Laboratorio: construyendo una matriz de riesgos
Revisión de los controles y mapa de calor de la matriz de riesgos
Las tres líneas de defensa
ISO 27001: declaración de aplicabilidad
Controles de seguridad: Políticas y controles de acceso
Política de seguridad de la información y gestión de activos
Controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Seguridad física y del entorno, de las operaciones y las comunicaciones
Seguridad de las operaciones
Seguridad de las comunicaciones
Controles de seguridad: Sistemas de información
Requisitos de seguridad en sistemas de información
Laboratorio: aplicar una lista de verificación
Relación con proveedores
Cumplimiento
Auditoría
¿Qué es auditoría?
Términos de la auditoría
Fases de una auditoría
Resultados de la auditoría
Laboratorio: realizar el reporte de algunas no conformidades
Gestión de la Continuidad del Negocio
BCP, BIA, RTO y RPO
Laboratorio: construyendo un BCP para un solo proceso
Cierre del curso
Simulacro del examen de certificación para Auditor Interno ISO 27001
Conclusiones y cierre del curso
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Aportes 25
Preguntas 9
Tratamiento de Riesgo
° Mitigar: implementando controles
° Transferir: Tercerizar
° Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
° Evitar: dejar la actividad (El menos viable )
El Dueño del Riesgo .- Persona con la autoridad de gestionar un riesgo
hola, podrías aclararme la relación que hay entre la ISO 73:2009, La ISO 31000 , la ISO 27005
Por favor
Puertos USB abiertos de los equipos de computo, permitiran usar a cualquier usuario como caballo de troya.
Facil acceso al datacenter local no cuenta con una cerradura o un control de acceso bien standarizado permitiendo el ingreso a cualquier persona
Yo no trabajo en alguna compañia, pero soy un estudiante de media superior y considero que es bueno aprender sobre la gestion de seguridad.
Donde laboro existen todos los riesgos, no se aplican políticas de SI como tal
Pobre de mi cerebro jajaja
Un riesgo ya materializado en el área es el uso del Protocolo SMB01 para la utilización de un file server antiguo donde aún respaldan información. Los riesgos inherentes a este son las vulnerabilidades del mismo al ser un puerto inseguro del cual agentes maliciosos pueden suponer ventaja, la desactivación del mismo y el traslado de toda esta información supone una manera de poder mitigar el riesgo.
Que sucede cuando a un riesgo se lo puede tratar de diferentes maneras? Se opta por aquella que lo minimice más o se describen todas las opciones?
Tratamiento de riesgos:
Mitigar: Busca reducir la probabilidad de ocurrencia del riesgo o reducir el impacto que pueda causar.
.Evitar :Cambiar el plan de gestión del proyecto para eliminar la amenaza que representa un riesgo adverso, aislar los objetivos del proyecto del impacto del riesgo o disminuir el objetivo que está en peligro.
.Transferir: Trasladar el impacto negativo de una amenaza y la responsabilidad del mismo a un tercero para su gestión.
.Asumir: Aceptar el riesgo y las respectivas consecuencias.
-fuga de información valiosa en términos de producción y diseño exclusivo de la empresa.
-robo de información de bases de datos sobre información personal de empleados
-paralización total de la producción por medio de ataques de ingeniería social al personal debido a falta de consientizacion y educación sobre peligros de Internet.
El riesgo más importante de mi compañía es la fuga de información y la modificación de la misma, son riesgos inherentes por un tema que se comparte la información con varios funcionarios para la ejecución de otros procesos, sin embargo, estos no guardan la información de forma adecuada.
Uno de los riesgos en la institución en donde laboro, es la
fuga de información por medio de dispositivos electrónicos;
existen ciertos privilegios al personal administrativo,
los puertos usb y acceso a redes sociales, están habilitados; y esto puede mal utilizarse, puede ser causal del robo de información sensible.
Probabilidad: Ocasional (3)
Impacto: Alto(5)
En muchas ocasiones los usuarios infectan de virus los equipos o a veces sin autorización restablecen los equipos y hacen sus propias configuraciones, nada les funciona y vienen aquí a reclamar lo que ellos provocaron ._.
TRATAMIENTO DE RIESGOS:
Proceso de selección y puesta en aplicación de medidas para modificar el riesgo.
El término “tratamiento de riesgos” se utiliza a veces para las propias medidas. El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. (Guia ISO 73:2009)
**
*Mitigar: **Implementar controles
***Transferir: **Cederlo a un tercero (Pólizas de seguro)
*Aceptar: No hacer nada (Quienes puedes tomar la decisión de aceptar los riesgos deben ser los gerentes, alta gerencia…hacer acta de aceptación como soporte de la ISO 27001)
*Evitar: Dejar de hacer la actividad
El dueño del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (Guía ISO 73:2009)
Tratamiento de riesgo
Proceso de selección y puesta en aplicacion de medidas para modificar el riesgo.
El termino “tratamiento de riesgo” se utiliza a veces para las propias medidas.
El tratamiento del riesgo puede originar nuevos riesgo o modificar los riesgos existentes.
(Guia ISO 73:2009)
El Dueño del Riesgo
Persona o entidad que tiene la responsabilidad y la autoridad para gestionar un riesgo.
(Guia ISO 73:2009)
R1:Usuario deja pc sin bloquear y sale de oficina
Probabilidad: Ocasional (3)
Impacto: Alto(5)
R1= Alto
Crear campañas de capacitación a los usuarios resaltando las consecuencias que puede ocasionar este tipo de acciones dado que se puede presentar suplantación de identidad y fuga de información desde alta hasta baja.
riesgos que observo en mi enpresa son:
fuga de informacion por puertos usb. y perdida de equipos xq no estan encriptados.
Buena clase 😀
Entonces residual seria para los riesgos que si tienen control como el seguro para el auto ?
Analizando el entorno en el que me encuentro, se evidencia riesgos en perdida de lotes de información, perdida de actividades productivas, perdida de tiempo, contagios por covid, entre otros. Hay un pilar de opciones de mitigación de riesgo.
en mi empresa :
-No puedes poner usb o almanaciento externo , però se creas una nueva cuenta separada del trabajo , si (riesgo bajo) ;
-token de segurida para aceder al usuario ;
Al final estamos bien . Solo con ingenieria social serià un problema , creo .
Uno de los riesgos en la compañìa en que trabajo es que cualquier persona introduzca un almacenamiento externo a las PC y distribuya malware o extraiga información importante. Yo diria que el riesgo es alto, ya que ocasionalmente usan USB para musica o transferir archivos, y el impacto de que se distribuya un malware podría cesar las actividades de la empresa y hacer que se incurran en gastos altos.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?
o inicia sesión.