Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Finalizar la revisión de la matriz de activos de información

14/39
Recursos

Aportes 22

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

Yo creo que la matriz que nos compartes se puede automatizar sin mucho complique de software especializados haciendo un pequeño desarrollo con bootstrap y montandola en un servidor local al que solo se pueda tener acceso desde area de SGSI

Cordial saludo, Considero que Limitarse a no pedir recursos para iniciar un proyecto tan importante es un Error Grave debido a que un sistema sale bien solo si se tiene una planeación estructurada y los recursos necesarios porque se trata del sistema de seguridad de la información. Yo aconsejo por el controario pidan todos los recursos para que el proyecto sea un exito total con campañas de espectativa, socializaciones a usuarios, Software robusto que apalanque la iniciativa… Si no lo exigen no lo cuentan como importante y en excel se queda toda la vida… La experiencia les habla… el truco es conocer la ISO27001 y tener la planeación correcta… y un proveedor especialista acompañando la actividad…

Hay que ver la ISO 27001 dentro del marco de la ISO 9001. Si primero se evalúan los procesos, la información que generan y los documentos asociados se pueden reducir documentación necesaria y la gestión documental no se convierte en un dolor de cabeza. Menos documentos hacen que el control de la información sea más fácil.

Gracias por la información el tema en las empresas tener el tiempo para levantar toda esta información? al parecer esta actividad requiere un grupo de personas dedicado a esta actividad

La matriz de riesgos que nos aportas en este laboratorio es bastante robusta. Si logramos clasificar la mayor cantidad de información de las empresas tendremos un panorama mas sencillo para saber el estado del sistema de gestión y seguridad de la información

Bueno hacer esa matriz al principio sera complicado, pero hay que acostumbrarse.

NO HAY ACCESO AL ARCHIVO DRIVE

El excel no me funciono, al abrirlo tenia que descargar cosas adicionales, pero no podia, decia que la direccion no estaba disponible, y asi varios intentos, por lo que no pude hacerlo

Gracias por compartir la matriz, es de gran ayuda y orientacion.

Esto se podria trabajar muy bien con Magerit 1, 2 y 3. Tienen un muy buen software inclusive para evaluar activos de información, tangibles e intangibles, abarcas todo desde el escritorio que sostiene el computador hasta llaves de acceso, muy bueno

Me parece que es una matriz que otorga bastante informacion al respecto de los activos, por lo tanto no veo como posible buscar una implementacion de esta en mi organizacion ya que es una universidad con gran cantidad de activos

Lo principal es que los lideres de proceso no le dan la importancia. Entonces es muy difícil que le den tiempo para ejecutar esta actividad. Y normalmente son muy celosos con la información.
Pero cuando se pierde alfo …eso si llaman a TI.

Como Se Relacionan los Controles del Anexo A, con la clasificación de los Activos de Información…?

Nunca he usado Sgsi, pero me parece Muy buena la información brindada, solo queda ponerla en práctica para plasmar el conocimiento adquirido, tomando en cuenta el aporte de los compañeros que tienen experiencia en el área y dan sus aportes en los comentarios. Muchas gracias

¿Que Software recomiendan para llevar este sistema y que no sea Excel?

Excelente la automatización de valores

Existe algún programa que permita administrar activos de información?. Si es así, cual me recomendarías. Gracias

El único programa que conozco para administrar documentos es Amazon WorkDocs. Este programa permite almacenar documentos, compartirlos, establecer permisos, editar lo que son de Microsoft Office y tiene cierto grado de etiquetado. No es el programa ideal para clasificar documentos, pero es el único que conozco.

Gracias por la clase profe

Tengo la intención de arrancar, por lo menos como buenas prácticas, la ISO27001 en mi trabajo por lo que he tomado algunos cursos y visto algunos Webinar. Por fin tengo algo con lo que realmente puedo trabajar y no solo conocer más teoría.

Sección F, Valoración del activo de información, se define el valor de criticidad según la triada, y la clasificación será determinada por el valor mas alto especificado.
Sección G, Clasificación de la información, se calcula automáticamente según los valores establecidos en la sección F.
Sección H, Controles, se describe el tipo de proceso con el que se resguarda la información, se describe el tipo de documento y el responsable de llevar a cabo el control.

Utilizar platillas en Excel / o matriz , nos ayudan a lograr su compresión y facilita la actualización, es recomendado mantener en Excel hasta que sea un proceso maduro para lanzarlo en software.