Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Laboratorio: construyendo una matriz de activos de información

13/39
Recursos

Aportes 50

Preguntas 14

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Hola Compañeros,
acabo de leer varios comentarios y veo que entienden que esto de obtener la información es muy difícil, pero entiendan que se debe de contar con el apoyo de la dirección o gerencia de la compañía, ya que es vital.
Tomando la actividad de inventario y clasificación de información como necesario para saber el valor de criticidad de cada activo de información de la compañía, se debe planear un cronograma o series de reuniones con los lideres de cada área y darles a entender que es un activo de información y por que es necesario su clasificación en una matriz, sera mucho mas sencillo obtener esta información.

Saludos. 😃

Pura talacha, pero necesaria

esto aplica solo a nivel de archivos digitales y físico?
Se puede aplicar directamente a un carpeta o hay que hacerlo individualmente por cada archivo?

En mi empresa hay logro identificar áreas que serian bastante accesibles así como áreas que serian sumamente difíciles y complicadas de que autoricen conocer sus procesos y tener acceso a su información. Solo con el aplicar un sistema de backups para nuestros usuarios tuvimos inconvenientes con algunas áreas porque piensan que es para que podamos tener acceso a sus archivos y poderlos ver, cuando lo único que se busca es tener un respaldo para ellos y evitar perdida de datos por algún accidente por un ataque informático o por negligencia o mala intención de algún colaborador (que ya ha pasado) sin embargo prefirieron que no hagamos backup de sus archivos y ellos se hacen responsables,supuesta mente, de su backup. Claro que al ser una certificación todos tendrían que colaborar y correspondería a la alta gerencia a concientisarlos en lo importante que es.

Creo que un punto clave en este proceso es generar un ciclo de actualización ya que pueden darte la información pero si después de la reunión o pasando unos meses se genera nueva documentación sensible, nuestra matriz no contaría con la nueva información.

Por lo que considero que hay que generar una política que indique que se debe seguir un proceso de creación de documentos y en ella contemplar la actualización de la matriz.

Para la ISO 9001 también se suele realizar una matriz de control de documentos pero relacionada a indicar que proceso es el emisor, usuario, dueño o custodio de cada documento. Incluso se debe incluir el formato, el tiempo de permanencia y su disposición final. En el caso de registros contables los periodos están definidos por la ley de cada país.

Las principales dificultades serían

Hay muchos repositorios de información
Hay información “duplicada” en diferentes repositorios
La falta de compromiso de algunos usuarios

En mi organización, es la falta de compromiso de parte de los funcionarios en todas las áreas, cuando en ocasiones engo que hacer capacitaciones sobre algún software que la organización acaba de adquirir, la falta de atención de los usuarios y andar de tras de ellos como que obligandolos es muy tedioso.

En México tenemos ésta ley a la cual apegar nuestros procesos:
“circular única de bancos” para el caso financiero.
https://www.cnbv.gob.mx/Paginas/NORMATIVIDAD.aspx

Creo que mi cerebro necesita pasta térmica.

Sin ayuda de alta gerencia es casi imposible tener una matriz de activos de información.

Aun tengo dudas sobre como clasificar el activo, es decir, cuando estamos hablando con las áreas para el levantamiento de información y ellos indican que su activos están es una unidad de red por ejemplo, el activo seria la unidad de red o cada carpeta dentro de la unidad ?

La dificultad es el tiempo para empezar este proceso, Por lo que escuche se debe tener un conocimiento de los diferentes procesos de la empresa, hay ciertos procesos documentados por el departamento de aseguramiento de la calidad, pero hay otras áreas que no tenemos documentados los procesos; en el área de informática hemos documentado unos pocos procesos, pero nos falta mucho por documentar. otra dificultad es contar con el apoyo de la dirección.
En el momento no hay interés en certificarnos, pero si en empezar a organizar la seguridad de la información.
Si me gustaría saber por donde debo empezar .
Gracias.

Existe una matriz similar para el caso de los activos de OT (tecnologias de la operacion)?

Hola Equipo, Pregunta, para el inventario de activos existen diversas categorias de ellos, entre ellas esta Software, en este apartado que software se debe listar? todo el que este instalado en los computadores de la organización? o específicos? saludos
Saludos, compañeros Esto al ser tan complejo, algunos puntos se pueden automatizar y tambien crear un proceso de registro que no quede solo en excel, pues adicional a esto la información se puede borrar, corromper. Pensando un tema de innovación, algunos puntos deberian estar automaticos y registrados en una aplicación.
Quién puede enviarme una plantilla como la que muestran? no encuentro el template del profesor.
El valor agregado de esta plantilla paga el curso y el tiempo, muchas gracias
## **Resistencia al cambio** En muchas ocasiones las organizaciones se enfrentan a un gran reto al momento de salir de su zona de confort, pues esto **genera ansiedad y dificultad en los procesos**, ya que es algo novedoso para ellos y no cuentan con la suficiente experiencia de hacer las cosas de una forma diferente. En este caso, es importante promover una cultura de cambio como algo positivo, ya que traerá beneficios para cada uno de los miembros y la empresa como tal, aumentando el nivel de confianza y evitando que esto se convierta en un problema al momento de ejecutar la gestión de riesgos.
Es cierto que el levantamiento de esta información podria ser complicado, pero el mayor trabajo sera una sola vez, ya despues es actualizar, además si hay compromiso de gerencia, las cosas fluyen.
Dentro de la organización se ha dado la importancia de la seguridad y el compromiso que se requiere, por lo cual es sencillo contar con la información y el recurso humano que ejecuta los procesos.
por favor me puede compartir el archivo de activos de TI, gracias de antemano. Le adjunto mi correo: <[email protected]>

Muy buena la herramienta, siempre resulta complejo lograr que las áreas suministren la información, sin embargo, una buena estrategía es ir realizando la campaña de sensibilización, expicar el tema y casi de inmediato proceder con el levantamiento de información del area que ha recibido la inducción, eso facilita un poco la disposición de los responsables.

que la compañía no este acostumbrada a estos tipos de documentos.

El inventario de activos debe ser un proceso completamente automatizado. El uso de servicios de la nube permite implementar esa gestión de forma automatizada.

El enlace del recurso ya no esta disponible.

El problema es que si los altos mandos no están con la disposición, menos el personal. Muchos de los procesos donde laboro si los tenemos identificados mas no documentados como lo vemos en este laboratorio, la dificultad de hacerlo es gigantesco con la cantidad de cosas por hacer y que van a darle largas para que todas estas acciones se integren 😦

normalmente las area de las empresas colaboran poco , se ocupan mas del dia a dia y le dan prioridad a sus tareas, en especial area contables.

En mi organzación que es un outsourcing business aparte del tiempo, dependera de que departmento necesite interactuar ya que los clientes externos tienes ciertas politicas de privacidad.

Desde el punto de vista de auditoria, la consolidación de la información tiende a comportarse de forma cerrada ya que la persona auditada realizara todo lo posible para hacer parecer que todo esta bien pero como auditor debemos tener claro el modelo de negoción con el fin de poder clasificar el tipo de información analizada.

la disponibilidad de las personas

La dificultad principal son los tiempos de gestión y la síntesis de información con las áreas, si bien los líderes de cada área tienen un papel vital en la recopilación de información, los tiempos de los usuarios dentro del área también son importantes puesto que cada uno de ellos están involucrados en procesos diferentes, si bien correlacionados, pero diferentes de los cuales se puede extraer datos relevantes a la hora de clasificar la información, se me ocurre ahora:

  • El área de GDH, el líder de esta área se encarga de la tramitación de informes de las actividades realizadas en el departamento de GDH y la alta gerencia así como de participar en las reuniones que involucren los tiempos de estas mismas actividades y la planificación de las mismas. Si bien la visión de estos procesos pueden ser establecidos teniendo esta información, los principales responsables de dar movimiento al flujo de estos procesos son los que nos pueden dar una visión más amplia adicional a lo contemplado por el líder del área. Creo que es muy importante contemplar los tiempos de una forma responsable y hacer que los usuarios del área se sientan parte de nuestro sistema de Gestión involucrándolos directamente.

Las principales dificultades serían

  1. Hay muchos repositorios de información
  2. Hay información "duplicada"en diferentes repositorios
  3. Algunas áreas no comparten datos sobre su información por confidencialidad

Una de las mayores dificultades, es el desorden que hay en la institución. Muchas veces ni siquiera los mismos jefes de las áreas saben que es lo que tienen. Están llenos de archivos sin clasificar ni organizar, información repetida e irrelevante.

En mi institución, es muy difícil acceder a la información que no pertenezca a tu dependencia o área, es una institución muy grande y con diversas sedes y cada sede tiene sus propias áreas de secretaria, RR.HH., etc. Esta compleja organización es la principal dificultad

Para mi caso es un poco más sencillo, toda vez que soy el oficial de cumplimiento, sin embargo, siempre vas a encontrar barreras de orden personal y profesional, ya que muchas veces los funcionarios pueden sentir esta recopilación de información como procesos de auditoria, sienten que al conocer su saber hacer quedan en desventaja.

la falta de disponibilidad de los directivos y funcionarios de la organización para poder reunir la información necesaria para poder conformar la matriz .
¿que es lo mas aconsejable en estas situaciones ?

Yo creeria que es una dificultad bastante alta por lo general hasta que no atacas o haces una demostración previa obvio con autorizacion de la alta gerencia de lo vulnerables que pueden ser ante un ataque que atente contra la integridad de la información no se conciencian de lo importante que es tener todo esto regulado.

Y a veces hay que ir mas alla ahi que mostrarles escenario donde por una perdida de informacion pueden a llegar a peligrar sus empleos a causa de esto por las perdidas economicas que la organizacion pueda tener por una mala gestion de la informacion

Muy bueno el esquema. Muchas gracias!

En la empresa que trabajo , la información es crítica, tiene un manejo estricto y cuenta con controles de acceso.

se ve complejo y que requiere mucho tiempo

En mi organización, recopilar la información a través de un funcionario es bastante factible, sin embargo, se encuentra una resistencia y recelo en cuanto a la información que se maneja dentro del área, por lo tanto, dificulta bastante la obtención de información y no se tiene los datos completos en cuanto a los procesos. ¿Cómo podría solucionar este tema? Agradecería una orientación

Hola a todos!!!

Desde mi rol como consultor en procesos de Gestión de Información, desarrollamos bajo la elaboración de los instrumentos archivisticos como son las Tablas de Retención Documental. En la cual se aplican los criterios de la Ley 1712 y en las entrevistas con los productores de información, revisión de los procesos y procedimientos, analizando las entradas y salidas de producción documental.

De esta manera podemos identificar los activos de información .

Para el relevamiento de activos de información aún existe mucha resistencias ser controlados, no estan acotumbrados a que un tercero documente y audite sus procesos

Desde el punto de vista de TI, no es difícil recopilar la información, lo que tomaría mas tiempo es clasificar la información según la triada de la clase anterior.

Esta Matriz de activos me hace recordar del Listado maestro de documentos del Sistema de Gestión de la Calidad, donde se puede identificar con facilidad un archivo codificado por: proceso maestro, subproceso, carpeta, tipo de documento ( manual, política, procedimiento, instructivo, protocolo, guía, registro… ), consecutivo y versión.

En mi empresa el inconveniente sería el tiempo que cada uno de los responsables del área puedan dedicar. En esta parte sería fundamental el apoyo total del Presidente de la empresa.

Una des las dificultades para identificar los activos de información que tendría en mi compañia seria el tiempo de cada uno de las personas ya que algunas miembros tienen que salir a dar soporte a nuestros clientes.