Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Controles de acceso

23/39
Recursos

Aportes 25

Preguntas 3

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

A9 Control de acceso
A9.1 Requisitos de negocio para el control de acceso
A9.1.1 Pol铆tica de control de acceso
A9.1.2 Acceso a las redes y a los servicios de red
A9.2 Gesti贸n de acceso de usuario
A9.2.1 Registro y baja de usuario
A9.2.2 Provisi贸n de acceso de usuario
A9.2.3 Gesti贸n de privilegios de acceso
A9.2.4 Gesti贸n de la informaci贸n secreta de autenticaci贸n de los usuarios
A9.2.5 Revisi贸n de los derechos de acceso de usuario
A9.2.6 Retirada o reasignaci贸n de los derechos de acceso
A9.3 Responsabilidades del usuario
A9.3.1 Uso de la informaci贸n secreta de autenticaci贸n
A9.4 Control de acceso a sistemas y aplicaciones
A9.4.1 Restricci贸n del acceso a la informaci贸n
A9.4.2 Procedimientos seguros de inicio de sesi贸n
A9.4.3 Sistema de gesti贸n de contrase帽as
A9.4.4 Uso de utilidades con privilegios del sistema
A9.4.5 Control de acceso al c贸digo fuente de los programas

A10 Criptograf铆a
A10.1 Controles criptogr谩ficos
A10.1.1 Pol铆tica de uso de los controles criptogr谩ficos
A10.1.2 Gesti贸n de claves

![](

Objetivos de control y controles de referencia:

A.9.Control de acceso

A.9.1 Requisitos de negocio para el control de acceso

	A.9.1.1 Pol铆tica de control de acceso (Tipos de conexi贸n para un usuario, periodicidad de revisi贸n de los permisos para los usuarios, horarios donde se permite o no su acceso)

	A.9.1.2 Acceso a las redes y a los servicios de red ()

A.9.2 Gesti贸n de acceso de usuario

	A.9.2.1 Registro y baja de usuario (Dar de baja a los usuarios que ya no pertenecen a la compa帽铆a) 
	A.9.2.2 Provisi贸n de acceso de usuario (Que tanto se demora un usuario para poder tener acceso al sistema dependiendo de su rol, entrega pronta)
	A.9.2.3 Gesti贸n de privilegios de acceso (Definir matriz de roles, funcionalidades y permisos para cada sistema de informaci贸n, que roles tienen acceso a determinadas funcionalidades)
	A.9.2.4 Gesti贸n de la informaci贸n secreta de autenticaci贸n de los usuarios (Va de la mano con la responsabilidad del usuario ya que es lo que tiene que hacer el usuario con la custodia o manejo de su informaci贸n privada o de accesos, es informaci贸n confidencial)
	A.9.2.5 Revisi贸n de los derechos de acceso de usuario (Peri贸dicamente implementar indicador que diga que est谩 pasando con el usuario , quienes est谩n accediendo a que y con qu茅 periodicidad , monitorear que a los usuarios se les est谩 entregando pocos o solo los permisos necesarios)

	A.9.2.6 Retirada o reasignaci贸n de los derechos de acceso (Retirar permisos innecesarios a los usuarios, solo los que necesita y va usar en su actividad diaria)

A.9.3 Responsabilidades del usuario
	
	A.9.3.1 Uso de la informaci贸n secreta de autenticaci贸n (Capacitaci贸n adecuada de que sus acceso son para el empleado y no debe de compartirla con nadie m谩s ya que es solo para su uso, si est谩 en vacaciones debe de desactivarse se usuario temporalmente)


A.9.4 Control de acceso a sistemas y aplicaciones

	A.9.4.1 Restricci贸n del acceso a la informaci贸n (Restringir que puede ver o no determinado usuario)

	A.9.4.2 Procedimientos seguros de inicio de sesi贸n (Tener en cuenta accesos concurrentes, restringir en el desarrollo para que no se permiten sesiones concurrentes 鈥o es permitido en la ISO 27001 que el mismo usuario est茅 logueado en varios equipos o sesiones al mismo tiempo)

	A.9.4.3 Sistema de gesti贸n de contrase帽as (Validar periodicidad de la contrase帽a, restricciones fuertes en contrase帽a,8 caracteres, caracteres alfanum茅ricos  y caracteres especiales, que no se pueda repetir la misma contrase帽a , que tenga que cambiara unas 4 o 5 veces antes de poder poner una contrase帽a antigua)

	A.9.4.4 Uso de utilidades con privilegios del sistema (No es permitido que el usuario pueda escalar privilegios)

	A.9.4.5 Control de acceso al c贸digo fuente de los programas (Informaci贸n altamente confidencial en su mayor铆a cuando se desarrolla software)

A.10. Criptograf铆a

A.10.1 Controles criptogr谩ficos
	
	A.10.1.1 Pol铆tica de uso de los controles criptogr谩ficos (Definir lineamiento de c贸mo definirla, quien las custodia, oficial de seguridad que las guarda en un sistema de informaci贸n o si es algo impreso se guarda en una caja fuerte, etc)

	A.10.1.2 Gesti贸n de claves (Qui茅n tiene las claves de acceso o criptogr谩ficas con las que se hace intercambio de acceso entre entidades)

Sin duda los grupos de mayor trabajo se enmarcar铆an en:
A.8 Gesti贸n de Activos
A.9 Control de acceso.

Son dos grandes grupos que demandan tiempo en la recopilaci贸n de informaci贸n clasificaci贸n y ponderaci贸n de la misma.

Para el caso de los administradores, es fundamental que tengan un sucesor debidamente capacitado en el manejo inform谩tico de la organizaci贸n, los roles y responsabilidades deber谩n ser divididos en dos roles:

  1. Super administrador
  2. Administrador

Donde el segundo tendr谩 atributos de admin con limitaciones y restricciones, cuando el super admin salga a vacaciones deber谩 ser remplazado por el admin. Los Usuarios y Claves de del super, estar谩n con antelaci贸n bajo llave preferiblemente en caja fuerte para que sea custodiada por la alta directiva de donde dependa el 谩rea IT, conjuntamente con seguridad de la informaci贸n se autoriza la rotura del sobre sellado para acceder a estas claves dependiendo el estado de la necesidad y/o su criticidad.

Se debe tener por escrito en un acta o documento especificando los permisos de accesos a los diferentes sistemas de informaci贸n por cada funcionario?

Un caso de filtracion de codigo fuente grave, seria el de la empresa CD PROJEKT, el cual luego de un ataque de ramsonware y HABER PAGADO el rescate, filtaron de igual manera el codigo de juegos como The Witcher 3 o el infame Cyberpunk 2077.
Esto nos deja claro que aunque paguemos el rescate de un ransomware, no hay una seguridad que nos devolveran nuestra informacion.
Aqui les dejo mas datos
https://hipertextual.com/2021/06/cyberpunk-2077-codigo-fuente-filtrado

Existe algun formato para realizar las policitas?

en mi trabajo esta resuelto asi
un root, para todo
un administrator solo con permisos de cambiar pass
cado uno con su usuario y cuando se necesita el root o el administrator, se lo pide y un jefe o gerente lo aprueba.
asi tenes el acceso al usuario de root
extra hay un usuario mas, que solo lo tiene el gestor y solo se usa por fallo critico de los otros dos.

En la empresa que trabajo no llevan un adecuado control de acceso, ya que un usuario de red puede estar logueado en diferentes equipos y trabajando en simultaneo sin ninguna restricci贸n.

Muy completa la explicaci贸n de esta segunda parte de los controles.

![](https://static.platzi.com/media/user_upload/image-ab1eeee5-5552-4f58-961b-7ac4beddd6a6.jpg)

Todas las reglas para prevenir un error humano

para estoy es indispensable crear el directorio activo dentro de la empresa, para autorizar el proceso de control de acceso.

Quien controla el acceso al administrador cuando este de vacaciones?

Gracias a la informaci贸n aprendida aqu铆, he comprendido que no se puede divorciar a ninguna 谩rea para la implementaci贸n de un SGSI.

Creo que los mas complicados es delinear que privilegios tienen ciertos usuarios.
Pero uno claro que yo si creo que se deben hacer es entender que pol铆ticas necesito aplicar, que se de manera coordinado y de manera que se este evaluando, capacitando, y automatizando de manera constante.

En lo personal estos son los controles mas complejos para implementar:
A9.1.1 Pol铆tica de control de acceso
A9.3.1 Uso de la informaci贸n secreta de autenticaci贸n
A9.4.1 Restricci贸n del acceso a la informaci贸n
A9.4.2 Procedimientos seguros de inicio de sesi贸n

Las credenciales de un usuario son 煤nicas e intransferibles 馃攽

Maravillosas Clases, amo platzi!

Control de Acceso L贸gico y llevar铆a a cabo una Certificaci贸n de Accesos Semestral para ratificar los permisos que necesitan los usuarios.

Lo mas dif铆cil seria responsabilidades de usuario a mi parecer, ya que se puede desconocer como funciona el sistema, por eso las capacitaciones de los funcionarios son importantes.

A.9.2.4 Gesti贸n de la informaci贸n secreta de autenticaci贸n de los usuarios

Empezaria por el control de acceso.

A9.1.1 Pol铆tica de control de acceso
A9.1.2 Acceso a las redes y a los servicios de red
A9.2 Gesti贸n de acceso de usuario

estos son los que implementar铆a.

A9.4.5 Control de acceso al c贸digo fuente de los programas
este seria muy dif铆cil de implementar.