Introducción a la norma ISO 27001

1

Preparación para Auditoría Interna ISO 27001

2

Historia y Evolución de la Norma ISO 27001 hasta 2019

3

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

4

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

5

Terminología clave de la norma ISO 27001

6

Norma ISO 27001: Gestión de Seguridad de la Información

7

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

8

Implementación de la Norma ISO 27001: Recursos y Competencias

9

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

10

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

11

Gestión de Riesgos y Clasificación de Activos de Información

12

Clasificación de Activos de Información en Excel

13

Creación de Plantilla de Gestión de Activos de Información en Excel

14

Clasificación de Activos de Información en Excel

15

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

16

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

17

Controles para Mitigar Riesgos según ISO 27001

18

Construcción de Matriz de Riesgos para Gestión Empresarial

19

Gestión de Controles en Matrices de Riesgos en Excel

20

Modelo de Tres Líneas de Defensa en Seguridad de la Información

21

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

22

Controles de Seguridad en la Gestión de la Información ISO 27001

23

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

24

Controles de Seguridad Física y del Entorno en ISO 27001

25

Seguridad de las Operaciones según ISO 27001

26

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

27

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

28

Seguridad en el Desarrollo de Software según OWASP Top 10

29

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

30

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

31

Auditoría de Sistemas de Seguridad según ISO 27001

32

Terminología de Auditoría según ISO 27001

33

Fases de una Auditoría: Paso a Paso para su Ejecución

34

Auditoría ISO 27001: Identificación y Reporte de No Conformidades

35

Reporte de No Conformidades en Auditoría ISO 27001

Gestión de la Continuidad del Negocio

36

Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001

37

Construcción de un Plan de Continuidad de Negocio

Cierre del curso

38

Examen Simulacro de ISO 27001: Seguridad de la Información

39

Certificación y Feedback en ISO 27001: Próximos Pasos

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Controles de Acceso y Criptografía en ISO 27001

23/39
Recursos

¿Qué es el Anexo A de la norma ISO 27001?

El Anexo A de la norma ISO 27001 es una guía detallada que proporciona un catálogo de controles de seguridad de la información. Estos controles se utilizan para seleccionar y aplicar medidas de protección adecuadas para mitigar los riesgos identificados en una organización. El enfoque es identificar qué controles son relevantes y necesarios según las vulnerabilidades y amenazas que enfrenta una organización.

¿Cómo se gestionan los controles de acceso?

La gestión de los controles de acceso en la norma ISO 27001 implica definir quiénes tienen acceso a qué recursos y cómo se controla este acceso. Algunos puntos clave incluyen:

  • Política de control de acceso: Antes de aplicar medidas prácticas, se debe establecer una política clara que defina los tipos de conexiones permitidas, la periodicidad de revisión de accesos y horarios autorizados.
  • Accesos a la red y servicios: Es crucial especificar y controlar el acceso tanto a las aplicaciones como a los servicios de red. Esto incluye identificar segmentos de red a los que está permitido acceder.
  • Responsabilidad del usuario: Los usuarios deben estar capacitados para gestionar su información de autenticación de forma segura, como no compartir contraseñas.
  • Gestión de usuarios temporales: Es necesario desactivar usuarios que estén de vacaciones o no estén actualmente en función para prevenir accesos no autorizados.

¿Cómo se implementa la gestión de privilegios?

La gestión de privilegios implica definir una matriz de roles y funcionalidades que categorice qué acciones puede realizar un usuario dentro del sistema. Algunos aspectos a considerar son:

  • Creación y eliminación de usuarios: Debe existir un plan para registrar, actualizar y eliminar usuarios de manera eficiente y automatizada.
  • Provisión del acceso: Definir acuerdos operativos para garantizar que los usuarios tengan acceso a los sistemas de manera oportuna y adecuada.
  • Revisión periódica de derechos de acceso: Evaluar si un usuario realmente necesita cada uno de los accesos asignados para realizar su trabajo.

¿Qué son los procedimientos seguros de inicio de sesión?

Estos procedimientos son esenciales para garantizar la seguridad durante el proceso de autenticación de usuarios. Algunos recomendaciones son:

  • Restringir sesiones concurrentes: No permitir que un usuario esté autenticado simultáneamente en varios dispositivos.
  • Gestión de contraseñas: Implementar medidas para asegurar contraseñas fuertes, que no se repitan con frecuencia y que incluyan múltiples caracteres.

¿Cuál es el papel de la criptografía según la ISO 27001?

La criptografía en la norma ISO 27001 se centra en proteger la información mediante el uso seguro de claves criptográficas. Los dos principales controles son:

  • Gestión de claves: Definir quién tiene la responsabilidad de custodiar las claves y establecer cómo se guardan y protegén adecuadamente.
  • Política de uso: Crear un lineamiento inicial que defina cómo se utilizarán las claves criptográficas, asegurando su almacenamiento seguro y su correcta utilización para proteger la integridad y confidencialidad de la información.

En conclusión, tanto los controles de acceso como los de criptografía son piezas clave en la implementación eficaz de la norma ISO 27001. La prioridad debe ser siempre adaptar estos controles a las necesidades específicas de la organización para garantizar la máxima protección de la información.

Aportes 26

Preguntas 3

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

A9 Control de acceso
A9.1 Requisitos de negocio para el control de acceso
A9.1.1 Política de control de acceso
A9.1.2 Acceso a las redes y a los servicios de red
A9.2 Gestión de acceso de usuario
A9.2.1 Registro y baja de usuario
A9.2.2 Provisión de acceso de usuario
A9.2.3 Gestión de privilegios de acceso
A9.2.4 Gestión de la información secreta de autenticación de los usuarios
A9.2.5 Revisión de los derechos de acceso de usuario
A9.2.6 Retirada o reasignación de los derechos de acceso
A9.3 Responsabilidades del usuario
A9.3.1 Uso de la información secreta de autenticación
A9.4 Control de acceso a sistemas y aplicaciones
A9.4.1 Restricción del acceso a la información
A9.4.2 Procedimientos seguros de inicio de sesión
A9.4.3 Sistema de gestión de contraseñas
A9.4.4 Uso de utilidades con privilegios del sistema
A9.4.5 Control de acceso al código fuente de los programas

A10 Criptografía
A10.1 Controles criptográficos
A10.1.1 Política de uso de los controles criptográficos
A10.1.2 Gestión de claves

![](

Sin duda los grupos de mayor trabajo se enmarcarían en:
A.8 Gestión de Activos
A.9 Control de acceso.

Son dos grandes grupos que demandan tiempo en la recopilación de información clasificación y ponderación de la misma.

Para el caso de los administradores, es fundamental que tengan un sucesor debidamente capacitado en el manejo informático de la organización, los roles y responsabilidades deberán ser divididos en dos roles:

  1. Super administrador
  2. Administrador

Donde el segundo tendrá atributos de admin con limitaciones y restricciones, cuando el super admin salga a vacaciones deberá ser remplazado por el admin. Los Usuarios y Claves de del super, estarán con antelación bajo llave preferiblemente en caja fuerte para que sea custodiada por la alta directiva de donde dependa el área IT, conjuntamente con seguridad de la información se autoriza la rotura del sobre sellado para acceder a estas claves dependiendo el estado de la necesidad y/o su criticidad.

Objetivos de control y controles de referencia:

A.9.Control de acceso

A.9.1 Requisitos de negocio para el control de acceso

	A.9.1.1 Política de control de acceso (Tipos de conexión para un usuario, periodicidad de revisión de los permisos para los usuarios, horarios donde se permite o no su acceso)

	A.9.1.2 Acceso a las redes y a los servicios de red ()

A.9.2 Gestión de acceso de usuario

	A.9.2.1 Registro y baja de usuario (Dar de baja a los usuarios que ya no pertenecen a la compañía) 
	A.9.2.2 Provisión de acceso de usuario (Que tanto se demora un usuario para poder tener acceso al sistema dependiendo de su rol, entrega pronta)
	A.9.2.3 Gestión de privilegios de acceso (Definir matriz de roles, funcionalidades y permisos para cada sistema de información, que roles tienen acceso a determinadas funcionalidades)
	A.9.2.4 Gestión de la información secreta de autenticación de los usuarios (Va de la mano con la responsabilidad del usuario ya que es lo que tiene que hacer el usuario con la custodia o manejo de su información privada o de accesos, es información confidencial)
	A.9.2.5 Revisión de los derechos de acceso de usuario (Periódicamente implementar indicador que diga que está pasando con el usuario , quienes están accediendo a que y con qué periodicidad , monitorear que a los usuarios se les está entregando pocos o solo los permisos necesarios)

	A.9.2.6 Retirada o reasignación de los derechos de acceso (Retirar permisos innecesarios a los usuarios, solo los que necesita y va usar en su actividad diaria)

A.9.3 Responsabilidades del usuario
	
	A.9.3.1 Uso de la información secreta de autenticación (Capacitación adecuada de que sus acceso son para el empleado y no debe de compartirla con nadie más ya que es solo para su uso, si está en vacaciones debe de desactivarse se usuario temporalmente)


A.9.4 Control de acceso a sistemas y aplicaciones

	A.9.4.1 Restricción del acceso a la información (Restringir que puede ver o no determinado usuario)

	A.9.4.2 Procedimientos seguros de inicio de sesión (Tener en cuenta accesos concurrentes, restringir en el desarrollo para que no se permiten sesiones concurrentes …no es permitido en la ISO 27001 que el mismo usuario esté logueado en varios equipos o sesiones al mismo tiempo)

	A.9.4.3 Sistema de gestión de contraseñas (Validar periodicidad de la contraseña, restricciones fuertes en contraseña,8 caracteres, caracteres alfanuméricos  y caracteres especiales, que no se pueda repetir la misma contraseña , que tenga que cambiara unas 4 o 5 veces antes de poder poner una contraseña antigua)

	A.9.4.4 Uso de utilidades con privilegios del sistema (No es permitido que el usuario pueda escalar privilegios)

	A.9.4.5 Control de acceso al código fuente de los programas (Información altamente confidencial en su mayoría cuando se desarrolla software)

A.10. Criptografía

A.10.1 Controles criptográficos
	
	A.10.1.1 Política de uso de los controles criptográficos (Definir lineamiento de cómo definirla, quien las custodia, oficial de seguridad que las guarda en un sistema de información o si es algo impreso se guarda en una caja fuerte, etc)

	A.10.1.2 Gestión de claves (Quién tiene las claves de acceso o criptográficas con las que se hace intercambio de acceso entre entidades)

Se debe tener por escrito en un acta o documento especificando los permisos de accesos a los diferentes sistemas de información por cada funcionario?

Un caso de filtracion de codigo fuente grave, seria el de la empresa CD PROJEKT, el cual luego de un ataque de ramsonware y HABER PAGADO el rescate, filtaron de igual manera el codigo de juegos como The Witcher 3 o el infame Cyberpunk 2077.
Esto nos deja claro que aunque paguemos el rescate de un ransomware, no hay una seguridad que nos devolveran nuestra informacion.
Aqui les dejo mas datos
https://hipertextual.com/2021/06/cyberpunk-2077-codigo-fuente-filtrado

Existe algun formato para realizar las policitas?

en mi trabajo esta resuelto asi
un root, para todo
un administrator solo con permisos de cambiar pass
cado uno con su usuario y cuando se necesita el root o el administrator, se lo pide y un jefe o gerente lo aprueba.
asi tenes el acceso al usuario de root
extra hay un usuario mas, que solo lo tiene el gestor y solo se usa por fallo critico de los otros dos.

En la empresa que trabajo no llevan un adecuado control de acceso, ya que un usuario de red puede estar logueado en diferentes equipos y trabajando en simultaneo sin ninguna restricción.

Muy completa la explicación de esta segunda parte de los controles.

Hola! Este curso me esta ayudando muchísimo, pero deberían actualizar esta clase en particular pues la norma cambio en controles y categorías
![](https://static.platzi.com/media/user_upload/image-ab1eeee5-5552-4f58-961b-7ac4beddd6a6.jpg)

Todas las reglas para prevenir un error humano

para estoy es indispensable crear el directorio activo dentro de la empresa, para autorizar el proceso de control de acceso.

Quien controla el acceso al administrador cuando este de vacaciones?

Gracias a la información aprendida aquí, he comprendido que no se puede divorciar a ninguna área para la implementación de un SGSI.

Creo que los mas complicados es delinear que privilegios tienen ciertos usuarios.
Pero uno claro que yo si creo que se deben hacer es entender que políticas necesito aplicar, que se de manera coordinado y de manera que se este evaluando, capacitando, y automatizando de manera constante.

En lo personal estos son los controles mas complejos para implementar:
A9.1.1 Política de control de acceso
A9.3.1 Uso de la información secreta de autenticación
A9.4.1 Restricción del acceso a la información
A9.4.2 Procedimientos seguros de inicio de sesión

Las credenciales de un usuario son únicas e intransferibles 🔑

Maravillosas Clases, amo platzi!

Control de Acceso Lógico y llevaría a cabo una Certificación de Accesos Semestral para ratificar los permisos que necesitan los usuarios.

Lo mas difícil seria responsabilidades de usuario a mi parecer, ya que se puede desconocer como funciona el sistema, por eso las capacitaciones de los funcionarios son importantes.

A.9.2.4 Gestión de la información secreta de autenticación de los usuarios

Empezaria por el control de acceso.

A9.1.1 Política de control de acceso
A9.1.2 Acceso a las redes y a los servicios de red
A9.2 Gestión de acceso de usuario

estos son los que implementaría.

A9.4.5 Control de acceso al código fuente de los programas
este seria muy difícil de implementar.