Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Aprende todo un fin de semana sin pagar una suscripci贸n 馃敟

Reg铆strate

Comienza en:

5D
11H
53M
15S

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

24/39
Recursos

Aportes 25

Preguntas 2

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

![](

A11 Seguridad f铆sica y del entorno
A11.1 脕reas seguras
A11.1.1 Per铆metro de seguridad f铆sica
A11.1.2 Controles f铆sicos de entrada
A11.1.3 Seguridad de oficinas, despachos y recursos
A11.1.4 Protecci贸n contra las amenazas externas y ambientales
A11.1.5 El trabajo en 谩reas seguras
A11.1.6 脕reas de carga y descarga
A11.2 Seguridad de los equipos
A11.2.1 Emplazamiento y protecci贸n de equipos
A11.2.2 Instalaciones de suministro
A11.2.3 Seguridad del cableado
A11.2.4 Mantenimiento de los equipos
A11.2.5 Retirada de materiales propiedad de la empresa
A11.2.6 Seguridad de los equipos fuera de las instalaciones
A11.2.7 Reutilizaci贸n o eliminaci贸n segura de equipos
A11.2.8 Equipo de usuario desatendido
A11.2.9 Pol铆tica de puesto de trabajo despejado y pantalla limpia

A.11.2.7 A lo Mister Robot abrirles un hueco a los discos duros con un taladro, y para ser ecol贸gicos volverlos reloj de pared

waooo no sabia que el disco duro tiene 13 capas de borrado , cada uno de ellos es accesibles ! buen curso

OJO: Se debe recordar que dentro del tema de seguridad el eslab贸n mas 鈥渄茅bil鈥 es el recurso humano, ya que es el mas recurrente a fallas.

para agregar 2 controles aplicables:

  • A.11.2.9: Pol铆tica de escritorio limpio, donde se especifique que no se pueden tener contrase帽as escritas en una papel y a la vista de otras personas

  • A.11.2.8: Configuraci贸n a nivel de pol铆ticas de AD en el que un equipo despu茅s de 15 o 30 seg de inactividad se bloquee la sesi贸n, adicional a esto todo el tema de concienciaci贸n en temas de seguridad de las sesiones.

Saludos. 馃槂

no sabia que el steel look se llamaba guaya en centro america ! 鈥 genial =)

por favor !! que alguien me diga que cuando hablaron de esto 鈥淎11.2.7 Reutilizaci贸n o eliminaci贸n segura de equipos鈥 alguien se acordo de la pelicula de TED 2!

Exelente clase llena de informaci贸n nueva y muy bien explicada por el profesor.

El anexo A mas que controles lo que define es la clasificaci贸n de esos controles. Por lo que he visto hasta ahora.

  • Seguridad f铆sica y del entorno, de las operaciones y del entorno:
    A11 Seguridad f铆sica y del entorno (se debe definir el per铆metro de seguridad de la organizaci贸n, se deben considerar los escenario en la que la organizaci贸n este en una zona peligrosa o tranquila)
    A11.1 脕reas seguras
    A11.1.1 Per铆metro de seguridad f铆sica
    A11.1.2 Controles f铆sicos de entrada (mecanismos para que los funcionarios accedan, puertas, biom茅tricos)
    A11.1.3 Seguridad de oficinas, despachos y recursos
    A11.1.4 Protecci贸n contra las amenazas externas y ambientales (posibilidad de terremotos, inundaciones)
    A11.1.5 El trabajo en 谩reas seguras (saber donde trabajan los funcionarios, saber los riesgos)
    A11.1.6 脕reas de carga y descarga
    A11.2 Seguridad de los equipos
    A11.2.1 Emplazamiento y protecci贸n de equipos (equipos portatiles o fijos como desktop)
    A11.2.2 Instalaciones de suministro (tema electrico, agua, infraestructura)
    A11.2.3 Seguridad del cableado (equipos debidamente normalizados, servidores climatizados)
    A11.2.4 Mantenimiento de los equipos
    A11.2.5 Retirada de materiales propiedad de la empresa
    A11.2.6 Seguridad de los equipos fuera de las instalaciones (considerara casos como cuando el funcionario se lleve un equipo a casa, y en caso de que el equipo sea victima de un malware o virus puede infectar a la red de la organizaci贸n cuando lo regrese)
    A11.2.7 Reutilizaci贸n o eliminaci贸n segura de equipos (equipos desechados, se dona, disco duro desechado si o si)
    A11.2.8 Equipo de usuario desatendido
    A11.2.9 Pol铆tica de puesto de trabajo despejado y pantalla limpia

Por que la norma incluyo temas de seguridad fisica y perimetral en temas de tecnologia?

lloro por dentro cada vez que tengo que romper un disco鈥

Guaya

Para el punto A.11.2.7 le empresa donde trabajaba hac铆a 2 cosas:

  1. Todo aquel equipo que ya estaba depreciado y era elegible para venta a los mismos empleados, a los DD se les hac铆a un borrado de bajo nivel y se entregaban
  2. Los equipos depreciados que no se vend铆an (ignoro porque unos equipos si los vend铆an y otros no), estos se clasificaban como scraf y se enviaban a una recicladora para su 鈥渃orrecta鈥 destrucci贸n, para esto nosotros nos deb铆amos de cerciorar de que cada DD estuviera perforado

Para este 煤ltimo punto no estaba muy de acuerdo ya que mucho equipo que se retiraba era equipo que bien se pod铆a donar y reutilizar, pero en fin yo no pon铆a las reglas, quiz谩 esta acci贸n la tomaban precisamente para asegurarse que el equipo fuera destruido conforme a las normas y que no fuera 鈥渂otado鈥 simplemente aun basurero/vertedero al final de su vida 煤til

Interesante el procedimiento de que un guardia de seguridad (o Asset Protection en algunas empresas) est茅n dando rondines por las 谩reas de trabajo para verificar (entre otras cosas) que los equipos laptop est茅n con su respectivo candado y de lo contrario, el usuario sea acreedor a una sanci贸n

Objetivos de control y controles de referencia:

A.11 Seguridad f铆sica y del entorno

A.11.1 脕reas seguras:

	A.11.1.1 Per铆metro de seguridad f铆sica (Definir zonas de seguridad dentro de la empresa)

	A.11.1.2 Controles f铆sicos de entrada (Mecanismos para que el funcionario accede a la compa帽铆a, biom茅trica o vigilante en porter铆a)
	
	A.11.1.3 Seguridad de oficinas, despachos y recursos (Area de tesoreria por ejemplo, solo puedan acceder los funcionarios encargados de ellos pero nadie m谩s porque se maneja dinero o transferencias)
	
	A.11.1.4 Protecci贸n contra las amenazas externas y ambientales (Ubicar a empresa en que zona esta, inundaciones, monta帽as, terremotos, etc evitar posibles amenazas por el entorno)

	A.11.1.5 El trabajo en 谩reas seguras (Riesgos de ca铆das de funcionarios, accidentes, etc )

	A.11.1.6 脕reas de carga y descarga (Si la empresa no tiene 谩rea de carga y descarga entonces queda descartado para la compa帽铆a)

A.11.2 Seguridad de los equipos

A.11.2.1 Emplazamiento y protecci贸n de equipos (Equipos fijos o port谩tiles con guaya)

A.11.2.2 Instalaci贸n de suministro (Tema el茅ctrico, acueducto, fuentes de poder, etc)

A.11.2.3 Seguridad el cableado (Racks debidamente normalizados, climatizaci贸n de soan de servidores)

A.11.2.4 Mantenimiento de los equipos (Mantenimiento preventivo de equipos, mantener vida 煤til del equipo)

A.11.2.5 Retirada de materiales propiedad de la empresa (Quien est谩 autorizado de retirar determinadas cosas de la empresa)

A.11.2.6 Seguridad de los equipos fuera de las instalaciones

A.11.2.7 Reutilizaci贸n o eliminaci贸n segura de equipos (Equipos que van a ser desechado, limpieza segura de alto nivel de la informaci贸n que est谩 en los equipos antes de desecharlos, en lo posible desecharlos o donarlos sin el disco duro, destrucci贸n del disco duro, se recomienda invitar a auditor铆a para que vea el proceso de destrucci贸n de los discos duros)

A.11.2.8 Equipos de usuarios desatendido (Seguridad en los equipos , que sean bloqueados cuando el funcionario no est茅 usando el equipo)

A.11.2.9 Pol铆tica de puesto de trabajo despejado y pantalla limpia (Funcionario no dejar informaci贸n o papeles en su puesto de trabajo con informaci贸n confidencial, destrucci贸n del papel que no se necesita, uso de trituradora de papel para evitar la reconstrucci贸n de informaci贸n a partir de desechos)

Excelente temario y explicaci贸n por parte del instructor

Para aquellos que usan Windows (desconozco si tambi茅n funciona en Mac o Linux)
Para r谩pidamente bloquear su computadora, y que cuando requieran usarla, les pida su contrase帽a, solamente presionen Tecla Windows + L

La norma de verdad pone muy buenos ecenarios para cumplir con las normas, ya que como varios expertos dicen los mayores problemas con Cyber security es el no seguir las normas mas b谩sicas, como el dejar documentos importante sin atender o pensar que nadie va a tocar tu computadora.
Pero algo que vale la pena mencionar es el soporte que se puede hacer con c谩maras para aclara incidentes.
Tambi茅n el uso de un buen VPN ahora que estamos en pandemia para todos los equipos que se encuentran en remoto.

Extra帽e el mapa mental 鈥

La ISO22301 trata esto de forma exaustiva, o tambien conocida como continuidad del negocio

6:17 Y ahora con lo de la Pandemia, y el trabajo remoto de emergencia隆隆 ya valimos, (face palm) la cosa se complica con los equipos de la empresa que la gente se llevo a sus casas para trabajar desde ah铆. sin la mas m铆nima protecci贸n salvo una vpn para acceder a la Red local de la empresa.

Actualmente ya existe software de borrado seguro de datos que garantizan la NO recuperaci贸n de datos de un disco duro, con lo que e equipo puede salir con disco duro y ser reutilizado. Este proceso no da帽a el equipo y al contrario extiende su vida 煤til, protegiendo al mismo tiempo a la empresa

En cuanto a la destrucci贸n f铆sica, las mejores pr谩cticas avalan la trituraci贸n industrial del disco, el Degaussing y la incineraci贸n del disco.