Introducción a la norma ISO 27001

1

Preparación para Auditoría Interna ISO 27001

2

Historia y Evolución de la Norma ISO 27001 hasta 2019

3

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

4

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

5

Terminología clave de la norma ISO 27001

6

Norma ISO 27001: Gestión de Seguridad de la Información

7

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

8

Implementación de la Norma ISO 27001: Recursos y Competencias

9

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

10

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

11

Gestión de Riesgos y Clasificación de Activos de Información

12

Clasificación de Activos de Información en Excel

13

Creación de Plantilla de Gestión de Activos de Información en Excel

14

Clasificación de Activos de Información en Excel

15

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

16

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

17

Controles para Mitigar Riesgos según ISO 27001

18

Construcción de Matriz de Riesgos para Gestión Empresarial

19

Gestión de Controles en Matrices de Riesgos en Excel

20

Modelo de Tres Líneas de Defensa en Seguridad de la Información

21

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

22

Controles de Seguridad en la Gestión de la Información ISO 27001

23

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

24

Controles de Seguridad Física y del Entorno en ISO 27001

25

Seguridad de las Operaciones según ISO 27001

26

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

27

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

28

Seguridad en el Desarrollo de Software según OWASP Top 10

29

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

30

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

31

Auditoría de Sistemas de Seguridad según ISO 27001

32

Terminología de Auditoría según ISO 27001

33

Fases de una Auditoría: Paso a Paso para su Ejecución

34

Auditoría ISO 27001: Identificación y Reporte de No Conformidades

35

Reporte de No Conformidades en Auditoría ISO 27001

Gestión de la Continuidad del Negocio

36

Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001

37

Construcción de un Plan de Continuidad de Negocio

Cierre del curso

38

Examen Simulacro de ISO 27001: Seguridad de la Información

39

Certificación y Feedback en ISO 27001: Próximos Pasos

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Construcción de Matriz de Riesgos para Gestión Empresarial

18/39
Recursos

¿Cómo construir una matriz de riesgos efectiva?

La gestión de riesgos es una piedra angular para cualquier organización que busque mitigar las amenazas potenciales y optimizar su desempeño. La creación de una matriz de riesgos es un paso clave en este proceso. En este laboratorio, aprenderás cómo construir una matriz que incluya niveles de identificación, análisis y evaluación de riesgos, así como la asignación de controles necesarios.

¿Qué información inicial se debe recopilar?

Antes de comenzar a llenar la matriz, es esencial recopilar cierta información que te permita construir una base sólida para la gestión de riesgos:

  • Gestor de riesgo: Identifica quien será la persona responsable de gestionar la matriz.
  • Gerencia y versión: Determina a qué área o departamento pertenece la matriz y la versión actual del documento.
  • Información principal: Identifica el área o el cargo del gestor, y la fecha de diligenciamiento.

¿Cómo se estructura el código y el proceso de riesgo?

Definir un código único para cada riesgo es crucial para su posterior identificación en la matriz general o el mapa de calor. Es importante que agrupes los riesgos por proceso mayor o de "jerarquía" para que puedas obtener estadísticas claras sobre los riesgos existentes en diferentes procesos o áreas de la organización.

¿Qué detalles deben incluirse en la descripción del riesgo?

El nombre del riesgo debe ser específico y reflejar claramente el posible problema. A través de ejemplos más generales, podrás ir desarrollando habilidades para redactar descripciones de riesgos eficientes. Un ejemplo incluye detalles como la divulgación o alteración de información debido a accesos no autorizados.

¿Cómo identificar las causas y eventos de riesgo?

Las causas determinan la raíz de los riesgos. Es fundamental identificar qué podría estar causando un riesgo para tomar las medidas preventivas necesarias. Al mismo tiempo, los eventos de riesgo son situaciones que pueden potencializar la materialización de estos riesgos.

¿Cuáles son las consecuencias para la organización?

Conocer el impacto de un riesgo en tu organización es esencial. Puede ser divulgación de información, cambios en la reputación, impactos legales y penales o pérdidas económicas. Este análisis ayuda a evaluar cómo un riesgo podría afectar el objetivo estratégico de una empresa.

¿Cómo determinar el grado de impacto ajustado y tipo de impacto?

El grado de impacto ajustado te permite, según tu criterio profesional, subir o bajar el nivel de impacto calculado automáticamente por la matriz. Asimismo, puedes elegir el tipo de impacto como pérdida económica, reputacional o seguridad de la información, ajustándolo a la realidad de la organización.

¿Por qué es importante evaluar la probabilidad de ocurrencia?

Evaluar la probabilidad de que un riesgo sea materializado es vital para entender su gravedad. Esta probabilidad puede ir desde "improbable" hasta "constante" y afecta directamente el nivel de riesgo inherente del proceso. Es un equilibrio que se perfeccionará con la práctica y experiencia.

¿Quién se encarga de gestionar los riesgos?

Es esencial que asignes un responsable para gestionar cada riesgo específico. El dueño del proceso se encargará de implementar acciones preventivas y correctivas para minimizar la posibilidad de ocurrencia del riesgo.

¿Qué sigue después de completar la matriz?

Una vez que hayas identificado y evaluado los riesgos principales, el siguiente paso imprescindible es implementar controles adecuados. Además, será necesario evaluar cómo estos se ubican en el mapa de calor, lo que te permitirá visualizar mejor el escenario y facilitará la decisión de qué riesgos requieren atención inmediata.

Aprender a elaborar una matriz de riesgos es un proceso que requiere de práctica constante. Al desarrollar tus habilidades, podrás ofrecer un enfoque más crítico y objetivo que beneficiará a la organización en su totalidad. ¡Continúa explorando y aplicando estos conocimientos en tu contexto específico!

Aportes 17

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Se nota mucho la preparación y el expertise que el profesor ha tenido.

No seas alarmista pero tampoco seas muy laxo.

Crack el profesor, se le nota bastante sus conocimientos en el campo no solo de la gestion de riesgos y de la ISO sino tambien en auditoria.

Excelente explicación de la matriz de riegos, muchas gracias Alex.

Excelentes aportes por parte del profesor.
Gracias!

Muchas gracias por tan buena matriz!

Muy buena explicación

Buen día, alguien sabría explicarme cual es la diferencia entre el "Tipo de Impacto (Asociado a la Consecuencia) y los IMPACTOS clasificados en Vida Humana, Legal y Penal, etc. Desde ya muchas gracias

Excelente, gracias profesor @Alex Tovar por compartir la matriz, esta será de gran ayuda para simular diferentes escenarios

I appreciate the sample spreadsheet and the preparation it took to fill in the sheet and explain each column. Very well presented and explained. Thank you!

Son los mismos principios del sistema de gestión de seguridad y salud ocupacional…

Muy clara la información y la manera del profesor para explicar, se nota que conoce y domina el tema.

Excelente el contenido

@atovarg (alias: “profe”) el archivo esta sin los comentarios !.. chan!

El profesor nos da una exelente explicacionde cada parametro y la forma mas sencilla.

Que buena la explicación-

como que causa de origen y evento de riesgo son muy similares, no?