Controles
Cualquier proceso, política, dispositivo, practica u otra acción que modifique un riesgo
Clasificación de controles
° Preventivos: Anticipan
° Detectivos: identificar al momento que se presenta el riesgo
° Correctivos: revertir el daño ya hecho, restaurar.
° Disuasivos ( no es estándar en ISO pero importante )
Tipos de Controles
° Manual: TI nulo, tiende a ser peligroso.
° Semiautomático: sistemas funcionando en conjunto con la parte humana.
° Automático: Operación basada en tecnología.
Introducción a la norma ISO 27001
Preparación para Auditoría Interna ISO 27001
Historia y Evolución de la Norma ISO 27001 hasta 2019
Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad
Sistema de Gestión de Seguridad según la Norma ISO 27001
Contenido de la norma
Terminología clave de la norma ISO 27001
Norma ISO 27001: Gestión de Seguridad de la Información
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
Implementación de la Norma ISO 27001: Recursos y Competencias
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
Gestión de Riesgos
Gestión de Riesgos y Clasificación de Activos de Información
Clasificación de Activos de Información en Excel
Creación de Plantilla de Gestión de Activos de Información en Excel
Clasificación de Activos de Información en Excel
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
Controles para Mitigar Riesgos según ISO 27001
Construcción de Matriz de Riesgos para Gestión Empresarial
Gestión de Controles en Matrices de Riesgos en Excel
Modelo de Tres Líneas de Defensa en Seguridad de la Información
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
Controles de seguridad: Políticas y controles de acceso
Controles de Seguridad en la Gestión de la Información ISO 27001
Controles de Acceso y Criptografía en ISO 27001
Controles de seguridad: Operaciones y Comunicaciones
Controles de Seguridad Física y del Entorno en ISO 27001
Seguridad de las Operaciones según ISO 27001
Seguridad de las Comunicaciones en Redes Empresariales
Controles de seguridad: Sistemas de información
Controles de Seguridad en el Desarrollo de Software bajo ISO 27001
Seguridad en el Desarrollo de Software según OWASP Top 10
Gestión de Proveedores e Incidentes de Seguridad en ISO 27001
Controles de Continuidad y Cumplimiento en Seguridad de la Información
Auditoría
Auditoría de Sistemas de Seguridad según ISO 27001
Terminología de Auditoría según ISO 27001
Fases de una Auditoría: Paso a Paso para su Ejecución
Auditoría ISO 27001: Identificación y Reporte de No Conformidades
Reporte de No Conformidades en Auditoría ISO 27001
Gestión de la Continuidad del Negocio
Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001
Construcción de un Plan de Continuidad de Negocio
Cierre del curso
Examen Simulacro de ISO 27001: Seguridad de la Información
Certificación y Feedback en ISO 27001: Próximos Pasos
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Si ya tienes una cuenta,
Controles para Mitigar Riesgos según ISO 27001
17/39Recursos
¿Cómo gestionar y mitigar riesgos en tu organización?
La gestión de riesgos es crucial para cualquier organización que desee proteger sus activos y operaciones. Una vez que identificas y mides un riesgo, el siguiente paso es tomar medidas para mitigarlo. Esto se hace mediante la implementación de controles que transforman riesgos en oportunidades para optimizar procesos y proteger la seguridad de la información. Vamos a explorar cómo lograr esto según la norma ISO 27001, basada en la ISO 31000, y qué tipos de controles son más efectivos.
¿Qué es un control según la norma ISO 27001?
Un control es una política, dispositivo, práctica o cualquier acción que puedas implementar para modificar un riesgo. El objetivo del control es reducir, aunque nunca eliminar por completo, el nivel de riesgo a un estado más manejable.
Ejemplos de controles incluyen:
- Políticas: Definir reglas claras de acceso y horarios para el trabajo.
- Tecnología: Implementación de software que automatiza procesos y controla accesos.
- Disuasivos: Elementos como cámaras de seguridad para prevenir malas prácticas.
¿Qué tipos de controles existen y cuándo usarlos?
Para implementar efectivamente controles en tu organización, debes entender los diferentes tipos de controles y su propósito:
-
Controles preventivos: Se anticipan a los eventos antes de que sucedan. Por ejemplo, bloquear puertos USB para prevenir la fuga de información.
-
Controles detectivos: Permiten identificar quién cometió un acto luego de que ha ocurrido. Un ejemplo común es el uso de logs o bitácoras de auditoría.
-
Controles correctivos: Buscan restaurar el sistema afectado. Por ejemplo, restaurar un backup después de un fallo.
-
Controles disuasivos: Aunque no están oficialmente en la ISO 27001, son comunes. Funcionan como las cámaras de seguridad que evitan la mala conducta simplemente con su presencia.
¿Cómo elegir el tipo correcto de control?
A la hora de elegir un control, la automatización es clave. Según la norma ISO 27001, los controles se clasifican en:
-
Controles automáticos: Totalmente gestionados por sistemas tecnológicos, reducen notablemente el error humano.
-
Controles manuales: Dependen principalmente del factor humano, lo cual puede aumentar las posibilidades de error.
-
Controles semiautomáticos: Combinan intervención humana con sistemas, pero aún presentan posibilidades de fallas.
El ideal es que la mayoría de tus controles sean automáticos para asegurar mayor precisión y eficacia. Apunta a que aproximadamente el 80% de tus controles sean automáticos, dejando una combinación menor de controles semiautomáticos y manuales.
¿Qué hacer con el riesgo residual?
Siempre habrá un riesgo residual, el cual es el riesgo que permanece después de aplicar los controles. Aunque sea inevitable, el objetivo es que este riesgo residual sea mucho menor que el riesgo inherente original. La constante revisión y mejora de los controles son indispensables para continuar minimizando este riesgo.
Implementar un sistema robusto de gestión de riesgos no solo protege a tu organización sino que también mejora la eficiencia operativa en general. Continúa aprendiendo sobre estos temas y busca siempre afinar tus estrategias de mitigación de riesgos para asegurar el éxito y la resiliencia de tu organización.
Aportes 10
Preguntas 2
Ordenar por:
aumentado
CONTROLES: Medido que modifica un riesgo, los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen un riesgo.
Clasificación de controles
° Preventivos: Anticipan eventos antes de que sucedan.
° Detectivos: identificar al momento que se presenta el riesgo.
° Correctivos: Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado (revertir el daño ya hecho, restaurar ).
° Disuasivos ( no es estándar en ISO pero importante ,ejm: cámara de seguridad que no sirve y eso ayuda a disuadir a quienes quieran cometer algo negativo aun asi n oeste sirviendo)
Tipos de Controles
° Manual: El uso de TI es nulo o bajo, siendo alta la participación del personal (TI nulo, tiende a ser peligroso y mitiga muy poco el riesgo).
° Semiautomático: Inicialmente dependientes de un proceso automático, pero desarrollado manualmente en su parte final y clave (sistemas funcionando en conjunto con la parte humana, ejemplo uso de excel con tablas dinámicas y algo de automático pero de igual manera tiene intervención manual del personal).
° Automático: Operación basada en tecnología.
Es importante mitigar los Manueles y en lo posible que sean controles semiautomáticos o automáticos completamente.
I share this mind map
Creo que la palabra indicada en ves de modificar es mitigar
Los controles disuasivos, aunque tienen un enfoque diferente, pueden ser considerados como parte de la estrategia preventiva. Su objetivo es evitar que un incidente ocurra mediante la creación de un ambiente que desanime comportamientos no deseados. Sin embargo, los controles preventivos están diseñados específicamente para evitar que un riesgo se materialice. Por lo tanto, aunque ambos buscan minimizar riesgos, los disuasivos actúan más como una medida de advertencia en lugar de un bloque real.
CONTROLES: Medido que modifica un riesgo, los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen un riesgo.
Clasificación de controles
° Preventivos: Anticipan
° Detectivos: identificar al momento que se presenta el riesgo
° Correctivos: revertir el daño ya hecho, restaurar.
° Disuasivos ( no es estándar en ISO pero importante )
Tipos de Controles
° Manual: TI nulo, tiende a ser peligroso.
° Semiautomático: sistemas funcionando en conjunto con la parte humana.
° Automático: Operación basada en tecnología.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?