Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

No se trata de lo que quieres comprar, sino de quién quieres ser. Aprovecha el precio especial.

Antes: $249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

14 Días
13 Hrs
20 Min
56 Seg

Tratamiento de riesgo

16/39
Recursos

Aportes 29

Preguntas 9

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Tratamiento de Riesgo
° Mitigar: implementando controles
° Transferir: Tercerizar
° Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
° Evitar: dejar la actividad (El menos viable )
El Dueño del Riesgo .- Persona con la autoridad de gestionar un riesgo

hola, podrías aclararme la relación que hay entre la ISO 73:2009, La ISO 31000 , la ISO 27005
Por favor

Tratamiento de riesgos:
Mitigar: Busca reducir la probabilidad de ocurrencia del riesgo o reducir el impacto que pueda causar.
.Evitar :Cambiar el plan de gestión del proyecto para eliminar la amenaza que representa un riesgo adverso, aislar los objetivos del proyecto del impacto del riesgo o disminuir el objetivo que está en peligro.
.Transferir: Trasladar el impacto negativo de una amenaza y la responsabilidad del mismo a un tercero para su gestión.
.Asumir: Aceptar el riesgo y las respectivas consecuencias.

Puertos USB abiertos de los equipos de computo, permitiran usar a cualquier usuario como caballo de troya.
Facil acceso al datacenter local no cuenta con una cerradura o un control de acceso bien standarizado permitiendo el ingreso a cualquier persona

TRATAMIENTO DE RIESGOS:

Proceso de selección y puesta en aplicación de medidas para modificar el riesgo.

El término “tratamiento de riesgos” se utiliza a veces para las propias medidas. El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. (Guia ISO 73:2009)
**
*Mitigar: **Implementar controles

***Transferir: **Cederlo a un tercero (Pólizas de seguro)

*Aceptar: No hacer nada (Quienes puedes tomar la decisión de aceptar los riesgos deben ser los gerentes, alta gerencia…hacer acta de aceptación como soporte de la ISO 27001)

*Evitar: Dejar de hacer la actividad

El dueño del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (Guía ISO 73:2009)

Yo no trabajo en alguna compañia, pero soy un estudiante de media superior y considero que es bueno aprender sobre la gestion de seguridad.

Donde laboro existen todos los riesgos, no se aplican políticas de SI como tal

Tratamiento de riesgo

Proceso de selección y puesta en aplicacion de medidas para modificar el riesgo.
El termino “tratamiento de riesgo” se utiliza a veces para las propias medidas.
El tratamiento del riesgo puede originar nuevos riesgo o modificar los riesgos existentes.
(Guia ISO 73:2009)

  • Mitigar: implementando controles
  • Transferir: Tercerizar
  • Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
  • Evitar: dejar la actividad (El menos viable )

El Dueño del Riesgo
Persona o entidad que tiene la responsabilidad y la autoridad para gestionar un riesgo.
(Guia ISO 73:2009)

Tratamiento de riesgos

Proceso de selección y puesta en aplicación de medidas para modificar el riesgo.
El término “tratamiento de riesgos” se utiliza a veces para las propias medidas.
El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes.
Guía ISO 73:2009

Mitigar
○ Implementar controles
Transferir
○ Cederlo a un tercero
Aceptar
○ No hacer nada
Evitar
○ Dejar de hacer la actividad

El dueño del riesgo

Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo.
[Guía ISO 73:2009]
Prácticamente l que maneja esa área

Pobre de mi cerebro jajaja

Un riesgo ya materializado en el área es el uso del Protocolo SMB01 para la utilización de un file server antiguo donde aún respaldan información. Los riesgos inherentes a este son las vulnerabilidades del mismo al ser un puerto inseguro del cual agentes maliciosos pueden suponer ventaja, la desactivación del mismo y el traslado de toda esta información supone una manera de poder mitigar el riesgo.

Que sucede cuando a un riesgo se lo puede tratar de diferentes maneras? Se opta por aquella que lo minimice más o se describen todas las opciones?

-fuga de información valiosa en términos de producción y diseño exclusivo de la empresa.
-robo de información de bases de datos sobre información personal de empleados
-paralización total de la producción por medio de ataques de ingeniería social al personal debido a falta de consientizacion y educación sobre peligros de Internet.

El riesgo más importante de mi compañía es la fuga de información y la modificación de la misma, son riesgos inherentes por un tema que se comparte la información con varios funcionarios para la ejecución de otros procesos, sin embargo, estos no guardan la información de forma adecuada.

Dueño del riesgo: **El propietario es el responsable del riesgo**. Al asignar esa responsabilidad nos aseguramos de que alguien en la organización sea el encargado de desarrollar un plan de respuesta ante dicho riesgo.
En la compañia donde trabajo todo es demasiado documental, casi nada se maneja en digital, es sumamente engorroso toma demasiado tiempo desde actas de mantenimiento que se envian a personas en campo que dificilmente tiene como imprimir firmar y escanear para devolver el acta, hasta la asignacion de equipos y perifericos.
actualmente estoy en control interno y existen riesgos de todo tipo desde filtración de información estratégica hasta riesgos reputacionales.

Uno de los riesgos en la institución en donde laboro, es la
fuga de información por medio de dispositivos electrónicos;
existen ciertos privilegios al personal administrativo,
los puertos usb y acceso a redes sociales, están habilitados; y esto puede mal utilizarse, puede ser causal del robo de información sensible.
Probabilidad: Ocasional (3)
Impacto: Alto(5)

En muchas ocasiones los usuarios infectan de virus los equipos o a veces sin autorización restablecen los equipos y hacen sus propias configuraciones, nada les funciona y vienen aquí a reclamar lo que ellos provocaron ._.

  • Mitigar -> Implementar controles ✅
  • Transferir -> Cederlo a un tercero (pólizas de seguro)
  • Aceptar -> No hacer nada ❗❌
  • Evitar -> Dejar de hacer la actividad ❌

R1:Usuario deja pc sin bloquear y sale de oficina
Probabilidad: Ocasional (3)
Impacto: Alto(5)
R1= Alto

Crear campañas de capacitación a los usuarios resaltando las consecuencias que puede ocasionar este tipo de acciones dado que se puede presentar suplantación de identidad y fuga de información desde alta hasta baja.

riesgos que observo en mi enpresa son:
fuga de informacion por puertos usb. y perdida de equipos xq no estan encriptados.

Buena clase 😀

Entonces residual seria para los riesgos que si tienen control como el seguro para el auto ?

Analizando el entorno en el que me encuentro, se evidencia riesgos en perdida de lotes de información, perdida de actividades productivas, perdida de tiempo, contagios por covid, entre otros. Hay un pilar de opciones de mitigación de riesgo.

en mi empresa :
-No puedes poner usb o almanaciento externo , però se creas una nueva cuenta separada del trabajo , si (riesgo bajo) ;
-token de segurida para aceder al usuario ;
Al final estamos bien . Solo con ingenieria social serià un problema , creo .

Uno de los riesgos en la compañìa en que trabajo es que cualquier persona introduzca un almacenamiento externo a las PC y distribuya malware o extraiga información importante. Yo diria que el riesgo es alto, ya que ocasionalmente usan USB para musica o transferir archivos, y el impacto de que se distribuya un malware podría cesar las actividades de la empresa y hacer que se incurran en gastos altos.