Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

No se trata de lo que quieres comprar, sino de quién quieres ser. Invierte en tu educación con el precio especial

Antes: $249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

12 Días
19 Hrs
29 Min
31 Seg

Seguridad física y del entorno, de las operaciones y las comunicaciones

24/39
Recursos

Aportes 26

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

![](

A11 Seguridad física y del entorno
A11.1 Áreas seguras
A11.1.1 Perímetro de seguridad física
A11.1.2 Controles físicos de entrada
A11.1.3 Seguridad de oficinas, despachos y recursos
A11.1.4 Protección contra las amenazas externas y ambientales
A11.1.5 El trabajo en áreas seguras
A11.1.6 Áreas de carga y descarga
A11.2 Seguridad de los equipos
A11.2.1 Emplazamiento y protección de equipos
A11.2.2 Instalaciones de suministro
A11.2.3 Seguridad del cableado
A11.2.4 Mantenimiento de los equipos
A11.2.5 Retirada de materiales propiedad de la empresa
A11.2.6 Seguridad de los equipos fuera de las instalaciones
A11.2.7 Reutilización o eliminación segura de equipos
A11.2.8 Equipo de usuario desatendido
A11.2.9 Política de puesto de trabajo despejado y pantalla limpia

A.11.2.7 A lo Mister Robot abrirles un hueco a los discos duros con un taladro, y para ser ecológicos volverlos reloj de pared

waooo no sabia que el disco duro tiene 13 capas de borrado , cada uno de ellos es accesibles ! buen curso

OJO: Se debe recordar que dentro del tema de seguridad el eslabón mas “débil” es el recurso humano, ya que es el mas recurrente a fallas.

no sabia que el steel look se llamaba guaya en centro america ! … genial =)

Objetivos de control y controles de referencia:

A.11 Seguridad física y del entorno

A.11.1 Áreas seguras:

	A.11.1.1 Perímetro de seguridad física (Definir zonas de seguridad dentro de la empresa)

	A.11.1.2 Controles físicos de entrada (Mecanismos para que el funcionario accede a la compañía, biométrica o vigilante en portería)
	
	A.11.1.3 Seguridad de oficinas, despachos y recursos (Area de tesoreria por ejemplo, solo puedan acceder los funcionarios encargados de ellos pero nadie más porque se maneja dinero o transferencias)
	
	A.11.1.4 Protección contra las amenazas externas y ambientales (Ubicar a empresa en que zona esta, inundaciones, montañas, terremotos, etc evitar posibles amenazas por el entorno)

	A.11.1.5 El trabajo en áreas seguras (Riesgos de caídas de funcionarios, accidentes, etc )

	A.11.1.6 Áreas de carga y descarga (Si la empresa no tiene área de carga y descarga entonces queda descartado para la compañía)

A.11.2 Seguridad de los equipos

A.11.2.1 Emplazamiento y protección de equipos (Equipos fijos o portátiles con guaya)

A.11.2.2 Instalación de suministro (Tema eléctrico, acueducto, fuentes de poder, etc)

A.11.2.3 Seguridad el cableado (Racks debidamente normalizados, climatización de soan de servidores)

A.11.2.4 Mantenimiento de los equipos (Mantenimiento preventivo de equipos, mantener vida útil del equipo)

A.11.2.5 Retirada de materiales propiedad de la empresa (Quien está autorizado de retirar determinadas cosas de la empresa)

A.11.2.6 Seguridad de los equipos fuera de las instalaciones

A.11.2.7 Reutilización o eliminación segura de equipos (Equipos que van a ser desechado, limpieza segura de alto nivel de la información que está en los equipos antes de desecharlos, en lo posible desecharlos o donarlos sin el disco duro, destrucción del disco duro, se recomienda invitar a auditoría para que vea el proceso de destrucción de los discos duros)

A.11.2.8 Equipos de usuarios desatendido (Seguridad en los equipos , que sean bloqueados cuando el funcionario no esté usando el equipo)

A.11.2.9 Política de puesto de trabajo despejado y pantalla limpia (Funcionario no dejar información o papeles en su puesto de trabajo con información confidencial, destrucción del papel que no se necesita, uso de trituradora de papel para evitar la reconstrucción de información a partir de desechos)

  • Seguridad física y del entorno, de las operaciones y del entorno:
    A11 Seguridad física y del entorno (se debe definir el perímetro de seguridad de la organización, se deben considerar los escenario en la que la organización este en una zona peligrosa o tranquila)
    A11.1 Áreas seguras
    A11.1.1 Perímetro de seguridad física
    A11.1.2 Controles físicos de entrada (mecanismos para que los funcionarios accedan, puertas, biométricos)
    A11.1.3 Seguridad de oficinas, despachos y recursos
    A11.1.4 Protección contra las amenazas externas y ambientales (posibilidad de terremotos, inundaciones)
    A11.1.5 El trabajo en áreas seguras (saber donde trabajan los funcionarios, saber los riesgos)
    A11.1.6 Áreas de carga y descarga
    A11.2 Seguridad de los equipos
    A11.2.1 Emplazamiento y protección de equipos (equipos portatiles o fijos como desktop)
    A11.2.2 Instalaciones de suministro (tema electrico, agua, infraestructura)
    A11.2.3 Seguridad del cableado (equipos debidamente normalizados, servidores climatizados)
    A11.2.4 Mantenimiento de los equipos
    A11.2.5 Retirada de materiales propiedad de la empresa
    A11.2.6 Seguridad de los equipos fuera de las instalaciones (considerara casos como cuando el funcionario se lleve un equipo a casa, y en caso de que el equipo sea victima de un malware o virus puede infectar a la red de la organización cuando lo regrese)
    A11.2.7 Reutilización o eliminación segura de equipos (equipos desechados, se dona, disco duro desechado si o si)
    A11.2.8 Equipo de usuario desatendido
    A11.2.9 Política de puesto de trabajo despejado y pantalla limpia

para agregar 2 controles aplicables:

  • A.11.2.9: Política de escritorio limpio, donde se especifique que no se pueden tener contraseñas escritas en una papel y a la vista de otras personas

  • A.11.2.8: Configuración a nivel de políticas de AD en el que un equipo después de 15 o 30 seg de inactividad se bloquee la sesión, adicional a esto todo el tema de concienciación en temas de seguridad de las sesiones.

Saludos. 😃

por favor !! que alguien me diga que cuando hablaron de esto “A11.2.7 Reutilización o eliminación segura de equipos” alguien se acordo de la pelicula de TED 2!

Exelente clase llena de información nueva y muy bien explicada por el profesor.

Guaya

Para aquellos que usan Windows (desconozco si también funciona en Mac o Linux)
Para rápidamente bloquear su computadora, y que cuando requieran usarla, les pida su contraseña, solamente presionen Tecla Windows + L

El anexo A mas que controles lo que define es la clasificación de esos controles. Por lo que he visto hasta ahora.

Por que la norma incluyo temas de seguridad fisica y perimetral en temas de tecnologia?

lloro por dentro cada vez que tengo que romper un disco…

![](https://static.platzi.com/media/user_upload/image-c80315e6-eab4-4149-9eb0-d0ec7bbb0efd.jpg)

Para el punto A.11.2.7 le empresa donde trabajaba hacía 2 cosas:

  1. Todo aquel equipo que ya estaba depreciado y era elegible para venta a los mismos empleados, a los DD se les hacía un borrado de bajo nivel y se entregaban
  2. Los equipos depreciados que no se vendían (ignoro porque unos equipos si los vendían y otros no), estos se clasificaban como scraf y se enviaban a una recicladora para su “correcta” destrucción, para esto nosotros nos debíamos de cerciorar de que cada DD estuviera perforado

Para este último punto no estaba muy de acuerdo ya que mucho equipo que se retiraba era equipo que bien se podía donar y reutilizar, pero en fin yo no ponía las reglas, quizá esta acción la tomaban precisamente para asegurarse que el equipo fuera destruido conforme a las normas y que no fuera “botado” simplemente aun basurero/vertedero al final de su vida útil

Interesante el procedimiento de que un guardia de seguridad (o Asset Protection en algunas empresas) estén dando rondines por las áreas de trabajo para verificar (entre otras cosas) que los equipos laptop estén con su respectivo candado y de lo contrario, el usuario sea acreedor a una sanción

Excelente temario y explicación por parte del instructor

La norma de verdad pone muy buenos ecenarios para cumplir con las normas, ya que como varios expertos dicen los mayores problemas con Cyber security es el no seguir las normas mas básicas, como el dejar documentos importante sin atender o pensar que nadie va a tocar tu computadora.
Pero algo que vale la pena mencionar es el soporte que se puede hacer con cámaras para aclara incidentes.
También el uso de un buen VPN ahora que estamos en pandemia para todos los equipos que se encuentran en remoto.

Extrañe el mapa mental …

La ISO22301 trata esto de forma exaustiva, o tambien conocida como continuidad del negocio

6:17 Y ahora con lo de la Pandemia, y el trabajo remoto de emergencia¡¡ ya valimos, (face palm) la cosa se complica con los equipos de la empresa que la gente se llevo a sus casas para trabajar desde ahí. sin la mas mínima protección salvo una vpn para acceder a la Red local de la empresa.

Actualmente ya existe software de borrado seguro de datos que garantizan la NO recuperación de datos de un disco duro, con lo que e equipo puede salir con disco duro y ser reutilizado. Este proceso no daña el equipo y al contrario extiende su vida útil, protegiendo al mismo tiempo a la empresa

En cuanto a la destrucción física, las mejores prácticas avalan la trituración industrial del disco, el Degaussing y la incineración del disco.