Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Las tres líneas de defensa

20/39
Recursos

Aportes 34

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

deberian dejar en cada video, un resumen de la de las clases, ayuda a entender mejor

Les comparto mapa mental, no pude incluir otras imagenes mas caracteristicas porque es version de prueba

No manejaba estos conceptos hasta el día de hoy y ahora entiendo porque en mi organización son tan estrictos y ya puedo identificar cada una de las tres lineas y en donde las tienen implementadas.

Muy util esta clase y el curso en general debo decir

Tres lineas de defensa.
Termino traído de terminología militar " de la segunda guerra mundial"
1: Linea 1: Los que ejecutan el proceso, "La gestión operativa"
2:Linea 2: Personal encargado de funciones de gestión de riesgos, "La linea 2 lo hace por medio de monitoreo"
3: Linea 3: Auditoria interna, revisa a la linea uno y dos, "Como órgano independiente revisa y evalúa como la primera linea gestiona sus riesgo y que la segunda este monitoreando. Al ultimo realiza un informe.

Técnicamente no manejaba estos conceptos; es más claro desde la norma, te ayuda a encausar correctamente los procesos y procedimientos cuando estas implementando los controles.

Jaja que gracioso en mi anterior trabajo no se realizaba ningun tipo de control preventivo y literalmente la información de cualquier departamento estaba libre por toda la oficina, ahora que veo y comprendo todo esto me doy cuenta de que en realidad necesitan ayuda.

Nada profe, en donde laboro no conocen ninguna de las 3 líneas

Hola compañeros,
esto en las empresas tambien se maneja como:

recurso o proceso operativo
recurso o proceso táctico
recurso o proceso estratégico
Saludos.

En el lugar donde trabajaba la primera linea siempre encubría los riesgos, por eso concuerdo con lo que dijo en el vídeo, La segunda linea trataba de resolver el problema pero sin informar y de igual manera ocultar la situación y los pobres de control de calidad siempre corrían detrás de todos para verificar las situaciones. Mi conclusión es que en necesario tener ética profesional para llevar a buen termino el plan de seguridad.

Exelente

Hola estamos en 2022 /05 de mayo TopGun premiere… de casualidad piensan actualizar videos de seguridad informatica ? Se les agradece, todo lo tienen muy bonito, Gracias…

Efectivamente dicho modelo se aplica en mi empresa actual, resalto que es muy cierto el proceso que se vive en la primera linea debido a que por miedo o descuido tiende a cometerse mucho errores es donde la segunda linea debe ponerse la camiseta para cuando se presente una auditoria interna esta sea aceptada y se tenga la capacidad para una auditoria externa.

Un breve aporte y que es más conceptual que de fondo, en la actualización que hizo que se hizo en 2020 al modelo de 3 líeas de defensa ECIIA/FERMA, se eliminó la palabra “Defensa”, actualmente solo se habla de las 3 líneas, sus funciones y responsabilidades no cambiaron en la reciente actualización.

Es clave que las empresas entiendan la importancia de la seguridad de la información y que de esto depende casi todo el negocio, por lo tanto concientizar a la gestión operativa debe ser una prioridad desde las mas altas instancias de la gerencia

No conocía el concepto de las 3 líneas de defensa pero viéndolo según la explicación si aplicamos ese modelo.

Excelente este tema de las 3 líneas de defensa, no lo conocía.

Las tres lineas de defensa 3LD
Primera línea: La gestión operativa.(El responsable del riesgo)
Segunda línea: Funciones de gestión de riesgo y cumplimiento(Seguridad de la información,identificación).
Tercera línea: Auditoría interna(Cumplimiento de segunda y primera lineas de defensa).

Como consultor he identificado que solo las empresas grandes aplican la 3 lineas de defensas, sin embargo dependiendo el giro estas empresas, suelen descuidar las 3 lineas.

y por otra parte en empresas pequeñas podria atreverme a decir que no aplican ningun tipo de defensa.

Good!

Las empresas pequeñas en su mayoria no aplican este criterio lamentablemente

Es interesante el último punto, las tres lineas deben de evitar mezclarse o coordinarse de alguna manera que se comprometa la eficiencia de alguna de las tres, esto es cierto.
Cada linea vigila y coordina su propio trabajo, y deben de estar separadas para garantizar que cada una haga su trabajo.

Primiera Linea de Defensa: La Gestión Operativa

Segunda Línea de Defensa: Funciones de gestión de riesgos y cumplimiento.

En mi empresa :

  • Primera linea es un poco meno segura y poco cuidada ;
    -Segunda linea con contorles financieros se equivocan demasiadas veces ;
    -Muy seguro .
  • Tres líneas de defensa: Terminología de origen militar WW2 (Revisar pagina 98 de las diapositivas, más info)

° 1ra Línea (Gestión Operativa): El responsable del riesgo (el que se encarga del proceso, el cual debe tener sumo cuidado en su ejecución).
° 2da Línea: Personales u oficiales de cumplimiento, los encargados de gestionar específicamente los riesgos (monitoreo frecuente).
° 3ra Línea: Auditoria Interna.

Tres líneas de defensa

Primera Linea
Dueños del proceso.

Segunda Linea
Seguridad de la información.

Tercera Línea
Auditoria interna- cumplimiento de lo que hace la primera y segunda línea