Introducción a la norma ISO 27001

1

Preparación para Auditoría Interna ISO 27001

2

Historia y Evolución de la Norma ISO 27001 hasta 2019

3

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

4

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

5

Terminología clave de la norma ISO 27001

6

Norma ISO 27001: Gestión de Seguridad de la Información

7

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

8

Implementación de la Norma ISO 27001: Recursos y Competencias

9

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

10

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

11

Gestión de Riesgos y Clasificación de Activos de Información

12

Clasificación de Activos de Información en Excel

13

Creación de Plantilla de Gestión de Activos de Información en Excel

14

Clasificación de Activos de Información en Excel

15

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

16

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

17

Controles para Mitigar Riesgos según ISO 27001

18

Construcción de Matriz de Riesgos para Gestión Empresarial

19

Gestión de Controles en Matrices de Riesgos en Excel

20

Modelo de Tres Líneas de Defensa en Seguridad de la Información

21

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

22

Controles de Seguridad en la Gestión de la Información ISO 27001

23

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

24

Controles de Seguridad Física y del Entorno en ISO 27001

25

Seguridad de las Operaciones según ISO 27001

26

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

27

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

28

Seguridad en el Desarrollo de Software según OWASP Top 10

29

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

30

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

31

Auditoría de Sistemas de Seguridad según ISO 27001

32

Terminología de Auditoría según ISO 27001

33

Fases de una Auditoría: Paso a Paso para su Ejecución

34

Auditoría ISO 27001: Identificación y Reporte de No Conformidades

35

Reporte de No Conformidades en Auditoría ISO 27001

Gestión de la Continuidad del Negocio

36

Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001

37

Construcción de un Plan de Continuidad de Negocio

Cierre del curso

38

Examen Simulacro de ISO 27001: Seguridad de la Información

39

Certificación y Feedback en ISO 27001: Próximos Pasos

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

16/39
Recursos

¿Cómo ubicar riesgos en un mapa de calor?

Ubicar riesgos en un mapa de calor es fundamental para la gestión efectiva de los mismos. El proceso comienza identificando los riesgos y luego asignándoles códigos únicos para una fácil identificación. Una vez definidos el impacto y la probabilidad de cada uno, se deben trasladar al mapa de calor para visualizar su posición y gravedad.

  • Impacto y probabilidad: Cada riesgo debe estar categorizado según su impacto y su probabilidad. Por ejemplo, un impacto crítico y una probabilidad moderada ubicaría al riesgo en un área de atención media dentro del mapa de calor.
  • Mapa de calor inicial e inherente: La primera imagen del mapa de calor muestra los riesgos sin control; es esencial capturar esta versión para luego compararla con el mapa residual, que incluirá las medidas de control aplicadas.

¿Cómo tratar los riesgos de forma efectiva?

El tratamiento de riesgos implica elegir y aplicar medidas que modifiquen los riesgos, no eliminarlos, pero sí alterar su impacto o probabilidad.

  1. Mitigación: Implementar controles específicos, como bloquear puertos USB o limitar la navegación en internet, para minimizar la fuga de información.
  2. Transferencia: Delegar la gestión del riesgo a terceros, como aseguradoras o subcontratistas, sin olvidar que los riesgos asociados a estas transferencias también requieren gestión.
  3. Aceptación: Decidir no hacer nada ante ciertos riesgos, aunque esta decisión debe ser tomada por la alta gerencia y basada en una evaluación clara y documentada.
  4. Evitar: Dejar de realizar una actividad específica para evitar riesgos, aunque esto es raro en la práctica organizacional.

¿Cuál es el papel del dueño del riesgo?

El dueño del riesgo es quien lleva a cabo la actividad relacionada con ese riesgo en particular. Según la ISO 31000, se define como la persona o entidad responsable de gestionar un riesgo específico. Es crucial que esta persona entienda su rol y el impacto potencial del riesgo en su área operativa.

  • Concienciación y capacitación: Educar a los dueños del riesgo sobre su responsabilidad es vital para asegurar una gestión efectiva.
  • Colaboración con tecnología: Aunque el control puede implementarse con la ayuda de tecnología, la responsabilidad última recae en el área que realiza la actividad relacionada con el riesgo.

Comprender y aplicar estos conceptos en la gestión de riesgos permitirá a las organizaciones no solo visualizar mejor sus riesgos, sino también implementar estrategias más efectivas para manejarlos. Te invito a identificar los riesgos en tu entorno laboral actual y reflexionar sobre su probabilidad e impacto. Esto te ayudará a prepararte para la próxima clase, donde profundizaremos en los controles y su papel crucial en la reducción de riesgos.

Aportes 29

Preguntas 9

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Tratamiento de Riesgo
° Mitigar: implementando controles
° Transferir: Tercerizar
° Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
° Evitar: dejar la actividad (El menos viable )
El Dueño del Riesgo .- Persona con la autoridad de gestionar un riesgo

hola, podrías aclararme la relación que hay entre la ISO 73:2009, La ISO 31000 , la ISO 27005
Por favor

Tratamiento de riesgos:
Mitigar: Busca reducir la probabilidad de ocurrencia del riesgo o reducir el impacto que pueda causar.
.Evitar :Cambiar el plan de gestión del proyecto para eliminar la amenaza que representa un riesgo adverso, aislar los objetivos del proyecto del impacto del riesgo o disminuir el objetivo que está en peligro.
.Transferir: Trasladar el impacto negativo de una amenaza y la responsabilidad del mismo a un tercero para su gestión.
.Asumir: Aceptar el riesgo y las respectivas consecuencias.

Puertos USB abiertos de los equipos de computo, permitiran usar a cualquier usuario como caballo de troya.
Facil acceso al datacenter local no cuenta con una cerradura o un control de acceso bien standarizado permitiendo el ingreso a cualquier persona

TRATAMIENTO DE RIESGOS:

Proceso de selección y puesta en aplicación de medidas para modificar el riesgo.

El término “tratamiento de riesgos” se utiliza a veces para las propias medidas. El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. (Guia ISO 73:2009)
**
*Mitigar: **Implementar controles

***Transferir: **Cederlo a un tercero (Pólizas de seguro)

*Aceptar: No hacer nada (Quienes puedes tomar la decisión de aceptar los riesgos deben ser los gerentes, alta gerencia…hacer acta de aceptación como soporte de la ISO 27001)

*Evitar: Dejar de hacer la actividad

El dueño del Riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (Guía ISO 73:2009)

Yo no trabajo en alguna compañia, pero soy un estudiante de media superior y considero que es bueno aprender sobre la gestion de seguridad.

Donde laboro existen todos los riesgos, no se aplican políticas de SI como tal

Tratamiento de riesgo

Proceso de selección y puesta en aplicacion de medidas para modificar el riesgo.
El termino “tratamiento de riesgo” se utiliza a veces para las propias medidas.
El tratamiento del riesgo puede originar nuevos riesgo o modificar los riesgos existentes.
(Guia ISO 73:2009)

  • Mitigar: implementando controles
  • Transferir: Tercerizar
  • Aceptar: no intervenir (Informar a gerencia para que asuman los riesgos)
  • Evitar: dejar la actividad (El menos viable )

El Dueño del Riesgo
Persona o entidad que tiene la responsabilidad y la autoridad para gestionar un riesgo.
(Guia ISO 73:2009)

Tratamiento de riesgos

Proceso de selección y puesta en aplicación de medidas para modificar el riesgo.
El término “tratamiento de riesgos” se utiliza a veces para las propias medidas.
El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes.
Guía ISO 73:2009

Mitigar
○ Implementar controles
Transferir
○ Cederlo a un tercero
Aceptar
○ No hacer nada
Evitar
○ Dejar de hacer la actividad

El dueño del riesgo

Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo.
[Guía ISO 73:2009]
Prácticamente l que maneja esa área

Pobre de mi cerebro jajaja

Un riesgo ya materializado en el área es el uso del Protocolo SMB01 para la utilización de un file server antiguo donde aún respaldan información. Los riesgos inherentes a este son las vulnerabilidades del mismo al ser un puerto inseguro del cual agentes maliciosos pueden suponer ventaja, la desactivación del mismo y el traslado de toda esta información supone una manera de poder mitigar el riesgo.

Que sucede cuando a un riesgo se lo puede tratar de diferentes maneras? Se opta por aquella que lo minimice más o se describen todas las opciones?

-fuga de información valiosa en términos de producción y diseño exclusivo de la empresa.
-robo de información de bases de datos sobre información personal de empleados
-paralización total de la producción por medio de ataques de ingeniería social al personal debido a falta de consientizacion y educación sobre peligros de Internet.

El riesgo más importante de mi compañía es la fuga de información y la modificación de la misma, son riesgos inherentes por un tema que se comparte la información con varios funcionarios para la ejecución de otros procesos, sin embargo, estos no guardan la información de forma adecuada.

Dueño del riesgo: **El propietario es el responsable del riesgo**. Al asignar esa responsabilidad nos aseguramos de que alguien en la organización sea el encargado de desarrollar un plan de respuesta ante dicho riesgo.
En la compañia donde trabajo todo es demasiado documental, casi nada se maneja en digital, es sumamente engorroso toma demasiado tiempo desde actas de mantenimiento que se envian a personas en campo que dificilmente tiene como imprimir firmar y escanear para devolver el acta, hasta la asignacion de equipos y perifericos.
actualmente estoy en control interno y existen riesgos de todo tipo desde filtración de información estratégica hasta riesgos reputacionales.

Uno de los riesgos en la institución en donde laboro, es la
fuga de información por medio de dispositivos electrónicos;
existen ciertos privilegios al personal administrativo,
los puertos usb y acceso a redes sociales, están habilitados; y esto puede mal utilizarse, puede ser causal del robo de información sensible.
Probabilidad: Ocasional (3)
Impacto: Alto(5)

En muchas ocasiones los usuarios infectan de virus los equipos o a veces sin autorización restablecen los equipos y hacen sus propias configuraciones, nada les funciona y vienen aquí a reclamar lo que ellos provocaron ._.

  • Mitigar -> Implementar controles ✅
  • Transferir -> Cederlo a un tercero (pólizas de seguro)
  • Aceptar -> No hacer nada ❗❌
  • Evitar -> Dejar de hacer la actividad ❌

R1:Usuario deja pc sin bloquear y sale de oficina
Probabilidad: Ocasional (3)
Impacto: Alto(5)
R1= Alto

Crear campañas de capacitación a los usuarios resaltando las consecuencias que puede ocasionar este tipo de acciones dado que se puede presentar suplantación de identidad y fuga de información desde alta hasta baja.

riesgos que observo en mi enpresa son:
fuga de informacion por puertos usb. y perdida de equipos xq no estan encriptados.

Buena clase 😀

Entonces residual seria para los riesgos que si tienen control como el seguro para el auto ?

Analizando el entorno en el que me encuentro, se evidencia riesgos en perdida de lotes de información, perdida de actividades productivas, perdida de tiempo, contagios por covid, entre otros. Hay un pilar de opciones de mitigación de riesgo.

en mi empresa :
-No puedes poner usb o almanaciento externo , però se creas una nueva cuenta separada del trabajo , si (riesgo bajo) ;
-token de segurida para aceder al usuario ;
Al final estamos bien . Solo con ingenieria social serià un problema , creo .

Uno de los riesgos en la compañìa en que trabajo es que cualquier persona introduzca un almacenamiento externo a las PC y distribuya malware o extraiga información importante. Yo diria que el riesgo es alto, ya que ocasionalmente usan USB para musica o transferir archivos, y el impacto de que se distribuya un malware podría cesar las actividades de la empresa y hacer que se incurran en gastos altos.