Yo creo que la matriz que nos compartes se puede automatizar sin mucho complique de software especializados haciendo un pequeño desarrollo con bootstrap y montandola en un servidor local al que solo se pueda tener acceso desde area de SGSI
Introducción a la norma ISO 27001
Qué aprenderás sobre la norma ISO 27001
Historia de la norma ISO27001
Principios generales de la seguridad de la información
El Sistema de Gestión de Seguridad de la Información
Contenido de la norma
Términos y definiciones
¿En qué consiste la ISO27001?
Liderazgo y planificación
Soporte, operación, evaluación y mejora
Introducción al anexo A
Últimos elementos del anexo A
Gestión de Riesgos
Clasificación de los activos de información
Inventario de activos de información
Laboratorio: construyendo una matriz de activos de información
Finalizar la revisión de la matriz de activos de información
Niveles de riesgo
Tratamiento de riesgo
Los controles
Laboratorio: construyendo una matriz de riesgos
Revisión de los controles y mapa de calor de la matriz de riesgos
Las tres líneas de defensa
ISO 27001: declaración de aplicabilidad
Controles de seguridad: Políticas y controles de acceso
Política de seguridad de la información y gestión de activos
Controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Seguridad física y del entorno, de las operaciones y las comunicaciones
Seguridad de las operaciones
Seguridad de las comunicaciones
Controles de seguridad: Sistemas de información
Requisitos de seguridad en sistemas de información
Laboratorio: aplicar una lista de verificación
Relación con proveedores
Cumplimiento
Auditoría
¿Qué es auditoría?
Términos de la auditoría
Fases de una auditoría
Resultados de la auditoría
Laboratorio: realizar el reporte de algunas no conformidades
Gestión de la Continuidad del Negocio
BCP, BIA, RTO y RPO
Laboratorio: construyendo un BCP para un solo proceso
Cierre del curso
Simulacro del examen de certificación para Auditor Interno ISO 27001
Conclusiones y cierre del curso
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Aportes 25
Preguntas 8
Yo creo que la matriz que nos compartes se puede automatizar sin mucho complique de software especializados haciendo un pequeño desarrollo con bootstrap y montandola en un servidor local al que solo se pueda tener acceso desde area de SGSI
Cordial saludo, Considero que Limitarse a no pedir recursos para iniciar un proyecto tan importante es un Error Grave debido a que un sistema sale bien solo si se tiene una planeación estructurada y los recursos necesarios porque se trata del sistema de seguridad de la información. Yo aconsejo por el controario pidan todos los recursos para que el proyecto sea un exito total con campañas de espectativa, socializaciones a usuarios, Software robusto que apalanque la iniciativa… Si no lo exigen no lo cuentan como importante y en excel se queda toda la vida… La experiencia les habla… el truco es conocer la ISO27001 y tener la planeación correcta… y un proveedor especialista acompañando la actividad…
Hay que ver la ISO 27001 dentro del marco de la ISO 9001. Si primero se evalúan los procesos, la información que generan y los documentos asociados se pueden reducir documentación necesaria y la gestión documental no se convierte en un dolor de cabeza. Menos documentos hacen que el control de la información sea más fácil.
La matriz de riesgos que nos aportas en este laboratorio es bastante robusta. Si logramos clasificar la mayor cantidad de información de las empresas tendremos un panorama mas sencillo para saber el estado del sistema de gestión y seguridad de la información
Esto se podria trabajar muy bien con Magerit 1, 2 y 3. Tienen un muy buen software inclusive para evaluar activos de información, tangibles e intangibles, abarcas todo desde el escritorio que sostiene el computador hasta llaves de acceso, muy bueno
Gracias por la información el tema en las empresas tener el tiempo para levantar toda esta información? al parecer esta actividad requiere un grupo de personas dedicado a esta actividad
Bueno hacer esa matriz al principio sera complicado, pero hay que acostumbrarse.
NO HAY ACCESO AL ARCHIVO DRIVE
Como Se Relacionan los Controles del Anexo A, con la clasificación de los Activos de Información…?
El excel no me funciono, al abrirlo tenia que descargar cosas adicionales, pero no podia, decia que la direccion no estaba disponible, y asi varios intentos, por lo que no pude hacerlo
Gracias por compartir la matriz, es de gran ayuda y orientacion.
Me parece que es una matriz que otorga bastante informacion al respecto de los activos, por lo tanto no veo como posible buscar una implementacion de esta en mi organizacion ya que es una universidad con gran cantidad de activos
Lo principal es que los lideres de proceso no le dan la importancia. Entonces es muy difícil que le den tiempo para ejecutar esta actividad. Y normalmente son muy celosos con la información.
Pero cuando se pierde alfo …eso si llaman a TI.
Muchas gracias, Profesor Alex, es una excelente herramienta, para efectos pedagogicos y muy buena base inicial, que luego como usted menciona se puede ampliar !!!
¿Que Software recomiendan para llevar este sistema y que no sea Excel?
Super buena esta matriz gracias por compartirla.
Excelente la automatización de valores
Existe algún programa que permita administrar activos de información?. Si es así, cual me recomendarías. Gracias
El único programa que conozco para administrar documentos es Amazon WorkDocs. Este programa permite almacenar documentos, compartirlos, establecer permisos, editar lo que son de Microsoft Office y tiene cierto grado de etiquetado. No es el programa ideal para clasificar documentos, pero es el único que conozco.
Gracias por la clase profe
Tengo la intención de arrancar, por lo menos como buenas prácticas, la ISO27001 en mi trabajo por lo que he tomado algunos cursos y visto algunos Webinar. Por fin tengo algo con lo que realmente puedo trabajar y no solo conocer más teoría.
Sección F, Valoración del activo de información, se define el valor de criticidad según la triada, y la clasificación será determinada por el valor mas alto especificado.
Sección G, Clasificación de la información, se calcula automáticamente según los valores establecidos en la sección F.
Sección H, Controles, se describe el tipo de proceso con el que se resguarda la información, se describe el tipo de documento y el responsable de llevar a cabo el control.
Utilizar platillas en Excel / o matriz , nos ayudan a lograr su compresión y facilita la actualización, es recomendado mantener en Excel hasta que sea un proceso maduro para lanzarlo en software.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?