Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Revisión de los controles y mapa de calor de la matriz de riesgos

19/39
Recursos

¿Cómo se construye una matriz de riesgos con controles efectivos?

Una matriz de riesgos es una herramienta crucial en la gestión de riesgos que ayuda a identificar, evaluar y priorizar posibles amenazas en cualquier organización. Este proceso no solo involucra el reconocimiento de riesgos inherentes, sino también la implementación y evaluación de controles adecuados que minimicen estos riesgos.

¿Cuáles son los elementos básicos de una matriz de riesgos?

  • Código del riesgo: Es vital asociar un código único a cada riesgo para facilitar la gestión y el seguimiento.
  • Descripción del riesgo: Ofrece un entendimiento claro de qué puede salir mal, como la divulgación o alteración de información por acceso no autorizado.
  • Controles: Se deben especificar claramente los controles implementados para evitar que el riesgo ocurra. Por ejemplo, verificar que un usuario tenga atribuciones correctas antes de su creación o modificación en un directorio activo.

¿Cómo se determina la efectividad de un control?

La efectividad de un control depende de varios factores:

  • Responsable: Define quién está encargado de ejecutar el control, como un analista junior de ingeniería.
  • Estado del control: Puede estar implementado y documentado, o simplemente implementado pero no documentado. La documentación es clave para estandarizar procesos y asegurar continuidad.
  • Forma del control: Los controles pueden ser automáticos, semiautomáticos o manuales. Un control completamente automático involucra sistemas de información, mientras que un manual depende significativamente del factor humano.
  • Tipo de control: Se categoriza en preventivo, detective, correctivo y disuasorio. Los controles preventivos buscan evitar que suceda un problema; los detectivos identifican eventos que ya han ocurrido.
  • Ejecución del control: Se debe establecer la frecuencia con la que se ejecuta un control, ya sea siempre, en la mayoría de las veces, algunas veces o pocas veces.

¿Cómo documentar y analizar la evidencia de control?

La evidencia de control debe estar bien documentada para proporcionar prueba de que las actividades de control se han ejecutado conforme a lo planificado:

  • Evidencia de ejecución: Se recopilan capturas de pantalla, registros u otra documentación que prueben que el control fue implementado.
  • Efecto del control sobre el riesgo: Esto evalúa si el control reduce la frecuencia, el impacto, o ambos.
  • Porcentaje de mitigación: Se estima qué porcentaje del riesgo se mitiga mediante el control.

¿Cómo se evalúan los riesgos residuales?

El riesgo residual es el nivel de riesgo que permanece después de aplicar los controles. Se evalúa utilizando:

  • Mapa de calor: Este instrumento visual permite ubicar el riesgo inicial sin controles, y después de aplicar los controles, para verificar el cambio de nivel de riesgo.
  • Reevaluación y observaciones: Después de implementar los controles, cualquier observación sobre su efectividad debe ser documentada y los controles ajustados si es necesario para seguir reduciendo el riesgo a niveles aceptables.

¿Cuáles son los siguientes pasos para optimizar la matriz de riesgos?

El camino hacia la optimización de una matriz de riesgos implica la mejora continua a través de:

  • Familiarización con la herramienta: Antes de avanzar a softwares especializados, es crucial dominar la metodología manual de evaluación de riesgos.
  • Implementación progresiva de controles: Establecer controles adicionales cuando sea necesario, basados en la reducción inicial del riesgo.
  • Automatización de procesos: Una vez dominada la herramienta, se puede considerar el uso de software para automatizar y potencialmente mejorar la gestión de riesgos.

La gestión eficaz del riesgo no es solo acerca de identificar amenazas; también es sobre crear estrategias robustas para mitigarlos, adaptándose constantemente a los cambios organizacionales. Juntos, estos pasos fomentan un enfoque sostenible hacia la seguridad organizacional.

Aportes 15

Preguntas 9

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Descripción de los campos del Excel por si no los muestra


Cuando implementamos varios controles sobre un mismo riesgo, como calculamos su ubicacion en el mapa de calor. Es decir, ¿como valoramos la suma de efectos de varios controles sobre un mismo riesgo? Gracias

Buenas herramientas, estoy de acuerdo, son suficientes para iniciar la verificación y ponderación de los riesgos y controles.

Los controles deben ser documentados para que en caso de cambiar el responsable, no tenga problemas para desempeñarse en la actividad.
Los controles no siempre pueden controlar la frecuencia y el impacto a la vez, por eso es importante que se implementen para cada caso y no dejar cabos sueltos.

Muy bien explicado por el profesor

Estas matrices se realizan cada cuanto tiempo?, o se actualizan y se separan porque en el caso de haber muchos riesgos seria una hoja enorme

Si se guarda las evidencias de registros de control, se debe indicar la ruta donde queda guardado la evidencia??

hola amigos como puedo descargar los laboratorios no he podido

Podrían mantener los nombres de manera constante…
Antes, los tipos de control eran si era auto. semiauto, manual.
Ahora se llama Forma de control. Y los tipos se llaman ahora lo que antes eran las clasificaciones…

Para iniciar estos procesos en una pequeña o mediana empresa es suficiente con la matriz que nos brinda el profesor la cual es super completa, ya para otro tipo de empresa mas grande considero si necesario pasar a un software especializado mas completo y automatizado

Muy buenas las explicaciones de profesor. 👍🏽

todo esta bien pero espero que se no se me olvide algunos datos de aqui que lo tenga que usar fura cool tener un documento mas que explique como el vídeo como usar el archivo excel para complementar la explicación que ya tiene el archivo excel

Yo aplicare este curso a mi propia startup!

Podrías darnos un modelo, y recomendaciones para construir las matrices de usuario
Profe buenas tardes La clasificación del riesgo en el mapa de calor debe introducirse manualmente ? No se puede automatizar en excel? adicionalmente en el mapa de riesgo residual, como hago para saber en qué ejeX y en qué ejeY del mapa de calor debo ponerlo, dado que tiene varias categorías? en alguna de las dos primeras pestañas me dice esa información? Gracias ?