![](
Introducción a la norma ISO 27001
Qué aprenderás sobre la norma ISO 27001
Historia de la norma ISO27001
Principios generales de la seguridad de la información
El Sistema de Gestión de Seguridad de la Información
Contenido de la norma
Términos y definiciones
¿En qué consiste la ISO27001?
Liderazgo y planificación
Soporte, operación, evaluación y mejora
Introducción al anexo A
Últimos elementos del anexo A
Gestión de Riesgos
Clasificación de los activos de información
Inventario de activos de información
Laboratorio: construyendo una matriz de activos de información
Finalizar la revisión de la matriz de activos de información
Niveles de riesgo
Tratamiento de riesgo
Los controles
Laboratorio: construyendo una matriz de riesgos
Revisión de los controles y mapa de calor de la matriz de riesgos
Las tres líneas de defensa
ISO 27001: declaración de aplicabilidad
Controles de seguridad: Políticas y controles de acceso
Política de seguridad de la información y gestión de activos
Controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Seguridad física y del entorno, de las operaciones y las comunicaciones
Seguridad de las operaciones
Seguridad de las comunicaciones
Controles de seguridad: Sistemas de información
Requisitos de seguridad en sistemas de información
Laboratorio: aplicar una lista de verificación
Relación con proveedores
Cumplimiento
Auditoría
¿Qué es auditoría?
Términos de la auditoría
Fases de una auditoría
Resultados de la auditoría
Laboratorio: realizar el reporte de algunas no conformidades
Gestión de la Continuidad del Negocio
BCP, BIA, RTO y RPO
Laboratorio: construyendo un BCP para un solo proceso
Cierre del curso
Simulacro del examen de certificación para Auditor Interno ISO 27001
Conclusiones y cierre del curso
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Convierte tus certificados en títulos universitarios en USA
Antes: $249
Paga en 4 cuotas sin intereses
Termina en:
Aportes 26
Preguntas 2
![](
A11 Seguridad física y del entorno
A11.1 Áreas seguras
A11.1.1 Perímetro de seguridad física
A11.1.2 Controles físicos de entrada
A11.1.3 Seguridad de oficinas, despachos y recursos
A11.1.4 Protección contra las amenazas externas y ambientales
A11.1.5 El trabajo en áreas seguras
A11.1.6 Áreas de carga y descarga
A11.2 Seguridad de los equipos
A11.2.1 Emplazamiento y protección de equipos
A11.2.2 Instalaciones de suministro
A11.2.3 Seguridad del cableado
A11.2.4 Mantenimiento de los equipos
A11.2.5 Retirada de materiales propiedad de la empresa
A11.2.6 Seguridad de los equipos fuera de las instalaciones
A11.2.7 Reutilización o eliminación segura de equipos
A11.2.8 Equipo de usuario desatendido
A11.2.9 Política de puesto de trabajo despejado y pantalla limpia
A.11.2.7 A lo Mister Robot abrirles un hueco a los discos duros con un taladro, y para ser ecológicos volverlos reloj de pared
waooo no sabia que el disco duro tiene 13 capas de borrado , cada uno de ellos es accesibles ! buen curso
OJO: Se debe recordar que dentro del tema de seguridad el eslabón mas “débil” es el recurso humano, ya que es el mas recurrente a fallas.
no sabia que el steel look se llamaba guaya en centro america ! … genial =)
Objetivos de control y controles de referencia:
A.11 Seguridad física y del entorno
A.11.1 Áreas seguras:
A.11.1.1 Perímetro de seguridad física (Definir zonas de seguridad dentro de la empresa)
A.11.1.2 Controles físicos de entrada (Mecanismos para que el funcionario accede a la compañía, biométrica o vigilante en portería)
A.11.1.3 Seguridad de oficinas, despachos y recursos (Area de tesoreria por ejemplo, solo puedan acceder los funcionarios encargados de ellos pero nadie más porque se maneja dinero o transferencias)
A.11.1.4 Protección contra las amenazas externas y ambientales (Ubicar a empresa en que zona esta, inundaciones, montañas, terremotos, etc evitar posibles amenazas por el entorno)
A.11.1.5 El trabajo en áreas seguras (Riesgos de caídas de funcionarios, accidentes, etc )
A.11.1.6 Áreas de carga y descarga (Si la empresa no tiene área de carga y descarga entonces queda descartado para la compañía)
A.11.2 Seguridad de los equipos
A.11.2.1 Emplazamiento y protección de equipos (Equipos fijos o portátiles con guaya)
A.11.2.2 Instalación de suministro (Tema eléctrico, acueducto, fuentes de poder, etc)
A.11.2.3 Seguridad el cableado (Racks debidamente normalizados, climatización de soan de servidores)
A.11.2.4 Mantenimiento de los equipos (Mantenimiento preventivo de equipos, mantener vida útil del equipo)
A.11.2.5 Retirada de materiales propiedad de la empresa (Quien está autorizado de retirar determinadas cosas de la empresa)
A.11.2.6 Seguridad de los equipos fuera de las instalaciones
A.11.2.7 Reutilización o eliminación segura de equipos (Equipos que van a ser desechado, limpieza segura de alto nivel de la información que está en los equipos antes de desecharlos, en lo posible desecharlos o donarlos sin el disco duro, destrucción del disco duro, se recomienda invitar a auditoría para que vea el proceso de destrucción de los discos duros)
A.11.2.8 Equipos de usuarios desatendido (Seguridad en los equipos , que sean bloqueados cuando el funcionario no esté usando el equipo)
A.11.2.9 Política de puesto de trabajo despejado y pantalla limpia (Funcionario no dejar información o papeles en su puesto de trabajo con información confidencial, destrucción del papel que no se necesita, uso de trituradora de papel para evitar la reconstrucción de información a partir de desechos)
para agregar 2 controles aplicables:
A.11.2.9: Política de escritorio limpio, donde se especifique que no se pueden tener contraseñas escritas en una papel y a la vista de otras personas
A.11.2.8: Configuración a nivel de políticas de AD en el que un equipo después de 15 o 30 seg de inactividad se bloquee la sesión, adicional a esto todo el tema de concienciación en temas de seguridad de las sesiones.
Saludos. 😃
por favor !! que alguien me diga que cuando hablaron de esto “A11.2.7 Reutilización o eliminación segura de equipos” alguien se acordo de la pelicula de TED 2!
Exelente clase llena de información nueva y muy bien explicada por el profesor.
Guaya
Para aquellos que usan Windows (desconozco si también funciona en Mac o Linux)
Para rápidamente bloquear su computadora, y que cuando requieran usarla, les pida su contraseña, solamente presionen Tecla Windows + L
El anexo A mas que controles lo que define es la clasificación de esos controles. Por lo que he visto hasta ahora.
Por que la norma incluyo temas de seguridad fisica y perimetral en temas de tecnologia?
lloro por dentro cada vez que tengo que romper un disco…
Para el punto A.11.2.7 le empresa donde trabajaba hacía 2 cosas:
Para este último punto no estaba muy de acuerdo ya que mucho equipo que se retiraba era equipo que bien se podía donar y reutilizar, pero en fin yo no ponía las reglas, quizá esta acción la tomaban precisamente para asegurarse que el equipo fuera destruido conforme a las normas y que no fuera “botado” simplemente aun basurero/vertedero al final de su vida útil
Interesante el procedimiento de que un guardia de seguridad (o Asset Protection en algunas empresas) estén dando rondines por las áreas de trabajo para verificar (entre otras cosas) que los equipos laptop estén con su respectivo candado y de lo contrario, el usuario sea acreedor a una sanción
Excelente temario y explicación por parte del instructor
La norma de verdad pone muy buenos ecenarios para cumplir con las normas, ya que como varios expertos dicen los mayores problemas con Cyber security es el no seguir las normas mas básicas, como el dejar documentos importante sin atender o pensar que nadie va a tocar tu computadora.
Pero algo que vale la pena mencionar es el soporte que se puede hacer con cámaras para aclara incidentes.
También el uso de un buen VPN ahora que estamos en pandemia para todos los equipos que se encuentran en remoto.
Extrañe el mapa mental …
La ISO22301 trata esto de forma exaustiva, o tambien conocida como continuidad del negocio
6:17 Y ahora con lo de la Pandemia, y el trabajo remoto de emergencia¡¡ ya valimos, (face palm) la cosa se complica con los equipos de la empresa que la gente se llevo a sus casas para trabajar desde ahí. sin la mas mínima protección salvo una vpn para acceder a la Red local de la empresa.
Actualmente ya existe software de borrado seguro de datos que garantizan la NO recuperación de datos de un disco duro, con lo que e equipo puede salir con disco duro y ser reutilizado. Este proceso no daña el equipo y al contrario extiende su vida útil, protegiendo al mismo tiempo a la empresa
En cuanto a la destrucción física, las mejores prácticas avalan la trituración industrial del disco, el Degaussing y la incineración del disco.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?