Introducción a la norma ISO 27001

1

Preparación para Auditoría Interna ISO 27001

2

Historia y Evolución de la Norma ISO 27001 hasta 2019

3

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

4

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

5

Terminología clave de la norma ISO 27001

6

Norma ISO 27001: Gestión de Seguridad de la Información

7

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

8

Implementación de la Norma ISO 27001: Recursos y Competencias

9

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

10

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

11

Gestión de Riesgos y Clasificación de Activos de Información

12

Clasificación de Activos de Información en Excel

13

Creación de Plantilla de Gestión de Activos de Información en Excel

14

Clasificación de Activos de Información en Excel

15

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

16

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

17

Controles para Mitigar Riesgos según ISO 27001

18

Construcción de Matriz de Riesgos para Gestión Empresarial

19

Gestión de Controles en Matrices de Riesgos en Excel

20

Modelo de Tres Líneas de Defensa en Seguridad de la Información

21

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

22

Controles de Seguridad en la Gestión de la Información ISO 27001

23

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

24

Controles de Seguridad Física y del Entorno en ISO 27001

25

Seguridad de las Operaciones según ISO 27001

26

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

27

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

28

Seguridad en el Desarrollo de Software según OWASP Top 10

29

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

30

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

31

Auditoría de Sistemas de Seguridad según ISO 27001

32

Terminología de Auditoría según ISO 27001

33

Fases de una Auditoría: Paso a Paso para su Ejecución

34

Auditoría ISO 27001: Identificación y Reporte de No Conformidades

35

Reporte de No Conformidades en Auditoría ISO 27001

Gestión de la Continuidad del Negocio

36

Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001

37

Construcción de un Plan de Continuidad de Negocio

Cierre del curso

38

Examen Simulacro de ISO 27001: Seguridad de la Información

39

Certificación y Feedback en ISO 27001: Próximos Pasos

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Controles para Mitigar Riesgos según ISO 27001

17/39
Recursos

¿Cómo gestionar y mitigar riesgos en tu organización?

La gestión de riesgos es crucial para cualquier organización que desee proteger sus activos y operaciones. Una vez que identificas y mides un riesgo, el siguiente paso es tomar medidas para mitigarlo. Esto se hace mediante la implementación de controles que transforman riesgos en oportunidades para optimizar procesos y proteger la seguridad de la información. Vamos a explorar cómo lograr esto según la norma ISO 27001, basada en la ISO 31000, y qué tipos de controles son más efectivos.

¿Qué es un control según la norma ISO 27001?

Un control es una política, dispositivo, práctica o cualquier acción que puedas implementar para modificar un riesgo. El objetivo del control es reducir, aunque nunca eliminar por completo, el nivel de riesgo a un estado más manejable.

Ejemplos de controles incluyen:

  • Políticas: Definir reglas claras de acceso y horarios para el trabajo.
  • Tecnología: Implementación de software que automatiza procesos y controla accesos.
  • Disuasivos: Elementos como cámaras de seguridad para prevenir malas prácticas.

¿Qué tipos de controles existen y cuándo usarlos?

Para implementar efectivamente controles en tu organización, debes entender los diferentes tipos de controles y su propósito:

  1. Controles preventivos: Se anticipan a los eventos antes de que sucedan. Por ejemplo, bloquear puertos USB para prevenir la fuga de información.

  2. Controles detectivos: Permiten identificar quién cometió un acto luego de que ha ocurrido. Un ejemplo común es el uso de logs o bitácoras de auditoría.

  3. Controles correctivos: Buscan restaurar el sistema afectado. Por ejemplo, restaurar un backup después de un fallo.

  4. Controles disuasivos: Aunque no están oficialmente en la ISO 27001, son comunes. Funcionan como las cámaras de seguridad que evitan la mala conducta simplemente con su presencia.

¿Cómo elegir el tipo correcto de control?

A la hora de elegir un control, la automatización es clave. Según la norma ISO 27001, los controles se clasifican en:

  • Controles automáticos: Totalmente gestionados por sistemas tecnológicos, reducen notablemente el error humano.

  • Controles manuales: Dependen principalmente del factor humano, lo cual puede aumentar las posibilidades de error.

  • Controles semiautomáticos: Combinan intervención humana con sistemas, pero aún presentan posibilidades de fallas.

El ideal es que la mayoría de tus controles sean automáticos para asegurar mayor precisión y eficacia. Apunta a que aproximadamente el 80% de tus controles sean automáticos, dejando una combinación menor de controles semiautomáticos y manuales.

¿Qué hacer con el riesgo residual?

Siempre habrá un riesgo residual, el cual es el riesgo que permanece después de aplicar los controles. Aunque sea inevitable, el objetivo es que este riesgo residual sea mucho menor que el riesgo inherente original. La constante revisión y mejora de los controles son indispensables para continuar minimizando este riesgo.

Implementar un sistema robusto de gestión de riesgos no solo protege a tu organización sino que también mejora la eficiencia operativa en general. Continúa aprendiendo sobre estos temas y busca siempre afinar tus estrategias de mitigación de riesgos para asegurar el éxito y la resiliencia de tu organización.

Aportes 10

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Controles
Cualquier proceso, política, dispositivo, practica u otra acción que modifique un riesgo
Clasificación de controles
° Preventivos: Anticipan
° Detectivos: identificar al momento que se presenta el riesgo
° Correctivos: revertir el daño ya hecho, restaurar.
° Disuasivos ( no es estándar en ISO pero importante )
Tipos de Controles
° Manual: TI nulo, tiende a ser peligroso.
° Semiautomático: sistemas funcionando en conjunto con la parte humana.
° Automático: Operación basada en tecnología.

aumentado

CONTROLES: Medido que modifica un riesgo, los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen un riesgo.

Clasificación de controles

° Preventivos: Anticipan eventos antes de que sucedan.

° Detectivos: identificar al momento que se presenta el riesgo.

° Correctivos: Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado (revertir el daño ya hecho, restaurar ).

° Disuasivos ( no es estándar en ISO pero importante ,ejm: cámara de seguridad que no sirve y eso ayuda a disuadir a quienes quieran cometer algo negativo aun asi n oeste sirviendo)

Tipos de Controles

° Manual: El uso de TI es nulo o bajo, siendo alta la participación del personal (TI nulo, tiende a ser peligroso y mitiga muy poco el riesgo).

° Semiautomático: Inicialmente dependientes de un proceso automático, pero desarrollado manualmente en su parte final y clave (sistemas funcionando en conjunto con la parte humana, ejemplo uso de excel con tablas dinámicas y algo de automático pero de igual manera tiene intervención manual del personal).

° Automático: Operación basada en tecnología.

Es importante mitigar los Manueles y en lo posible que sean controles semiautomáticos o automáticos completamente.

I share this mind map

Creo que la palabra indicada en ves de modificar es mitigar

Los controles disuasivos, aunque tienen un enfoque diferente, pueden ser considerados como parte de la estrategia preventiva. Su objetivo es evitar que un incidente ocurra mediante la creación de un ambiente que desanime comportamientos no deseados. Sin embargo, los controles preventivos están diseñados específicamente para evitar que un riesgo se materialice. Por lo tanto, aunque ambos buscan minimizar riesgos, los disuasivos actúan más como una medida de advertencia en lugar de un bloque real.
![](https://static.platzi.com/media/user_upload/imagen-4bf5e1a4-417a-4e0f-9666-1db5065c15c2.jpg)

CONTROLES: Medido que modifica un riesgo, los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen un riesgo.

Clasificación de controles
° Preventivos: Anticipan
° Detectivos: identificar al momento que se presenta el riesgo
° Correctivos: revertir el daño ya hecho, restaurar.
° Disuasivos ( no es estándar en ISO pero importante )
Tipos de Controles
° Manual: TI nulo, tiende a ser peligroso.
° Semiautomático: sistemas funcionando en conjunto con la parte humana.
° Automático: Operación basada en tecnología.