Seguridad de las operaciones

Les comparto el mapa mental de la clase

A12 Seguridad de las operaciones
A12.1 Procedimientos y responsabilidades operacionales
A12.1.1 Documentación de procedimientos operacionales
A12.1.2 Gestión de cambios
A12.1.3 Gestión de capacidades
A12.1.4 Separación de los recursos de desarrollo, prueba y operación
A12.2 Protección contra el software malicioso (malware)
A12.2.1 Controles contra el código malicioso
A12.3 Copias de seguridad
A12.3.1 Copias de seguridad de la información
A12.4 Registros y supervisión
A12.4.1 Registro de eventos
A12.4.2 Protección de la información del registro
A12.4.3 Registros de administración y operación
A12.4.4 Sincronización del reloj
A12.5 Control del software en explotación
A12.5.1 Instalación del software en explotación
A12.6 Gestión de la vulnerabilidad técnica
A12.6.1 Gestión de las vulnerabilidades técnicas
A12.6.2 Restricción en la instalación de software
A12.7 Consideraciones sobre la auditoria de sistemas de información
A12.7.1 Controles de auditoría de sistemas de información

![](

Puede parecer extenso, pero me alegra haber tomado este curso antes de realizar los curso prácticos de seguridad informática.

Yo me certifique el año pasado en Comptia Security + y debo decir que lo que he aprendido en este curso ha expandido mi entendimiento de la propia Comptia pues la ISO abarca muchos aspectos que no consideraba yo que tenian que ver con seguridad de la informacion

Donde puedo conseguir las diapositivas de todas las clases?

El curso me ha gustado , es mucha la información que tienes que digerir , pero con la explicación se hace mas fácil. Estoy siguiendo la ruta de seguridad informática, estoy seguro que teniendo estas bases solidas me ayudara mucho en el futuro.

Es extremadamente interesante el Anexo A
En la institución para la cual trabajo aun (no se si tienen o no la certificación ISO 27001) están muy bien implementadas las normas de seguridad, hasta el día de hoy entiendo el porque de todas las medidas que la empresa toma contra todos los trabajadores,
muy buen curso y bien explicado!!!

Creo que aplica el comentario del Autor Bruce Schneier que dice “Que el que ataca, hacker, solo necesita un solo acierto para ingresar en el sistema, pero el que protege, grupo de seguridad, siempre tiene estar pendiente que todo este bien protegido”. Es por eso que Cyber Security, es siempre un trabajo en el que todo los días tienes que ganar, y tener un plan para restaurar tan pronto como sea posible.

Hasta los momentos, solo he visto 3 drivers que motivan a las empresas a implementar la ISO27K.

• Porque tuvieron un Ataque recién en donde hubo perdidas económicas y/o reputaciones.

• Para entrar en Procesos de Licitación con Grandes Empresas.

• Prestigio y Medalla ISO27K, para incrementar la confianza en cara a sus Clientes.

Podrá ser extenso y en algun punto tedioso, sin embargo todo lo que se trata en el anexo a son detalles que aunque los conocemos no siempre estamos concientes de las posibles brechas de seguridad

Es un curso muy bueno, en mi opinion toda persona que pertenesca a grandes ciudades deberia de tener al menos una nocion de esta norma, esta norma aplica incluso a la vida cotidiana.

Sin duda este curso es fundamental para quienes incursionamos en el mundo de la informática y seguridad de la información, soy Ing. Industrial y oficial de cumplimiento del sistema de gestión y seguridad de la información.La explicación de la norma es muy acertada, muy bien explicada, Alex Tovar excelente profesional.

es tanta informacion que aveces me mareo

Me gusta mucho el repaso de cada tema y los aportes que proveen.

Antes pensaba que en mi organización, tenia escasas medidas de seguridad en muchos ámbitos, pero llegando a este punto del Anexo A me doy cuenta que si se tienen muchos controles solo falta que formalice bien todo lo trabajado y que todos en conjunto logremos estandarizar los procesos

A.12 Seguridad de las operaciones (14 controles)

A.12.1 Procedimientos y responsabilidades operacionales

	A.12.1.1 Documentación de procedimientos operacionales (Cada una de las actividades que realiza el área de tecnología o área de seguridad de la información deben estar documentadas, el conocimiento no debe ser tácito que solo quede en un funcionario, documentación formalizada y socializada)

	
	A.12.1.2 Gestión de cambios (Evolución del software es continua y se debe de mantener un proceso de gestión de cambios, procedimientos de rollback)

	A.12.1.3 Gestión de capacidades (Picos de trabajo entonces se debe asegurar la continuidad de los sistemas, recursos tecnológicos habilitados que no colapsen el sistema)

	A.12.1.4 Separación de los recursos de desarrollo, prueba y operación (Segregación de ambientes por ejemplo para el equipo de desarrollo - ambiente DEV, equipo de pruebas ambiente UAT, ambiente de producción)

A.12.2 Protección contra el software malicioso (malware)

	A.12.2.1 Controles contra el código malicioso (Medidas de protección ,antivirus, software de detección de intrusos)

A.12.3 Copias de seguridad 

	A.12.3.1 Copias de seguridad de la información (Procedimiento y periodicidad de pruebas de backup para validar que los backup si están correctos, realizar pruebas de restauración para validar las copias de seguridad)

A.12.4 Registros y supervisión

	A.12.4.1 Registro de eventos (Logs de eventos)

	A.12.4.2 Protección de la información del registro 

	A.12.4.3 Registros de administración y operación

	A.12.4.4 Sincronización del reloj (Sincronizados los servidores contra una hora estandarizada)

A.12.5 Control del software en explotación

	A.12.5.1 Instalación del software en explotación (Es el software que se puede instalar en sistemas operativos, hacer administracion en sistemas operativos, hacer análisis si la herramienta es segura y no va a afectar realmente el sistema o la operación)

A.12.6 Gestión de la vulnerabilidad técnica

	A.12.6.1 Gestión de las vulnerabilidades técnicas (Saber como me van a atacar o analizar vulnerabilidades que existen en los sistemas, anticipar)

	A.12.6.2 Restricción en la instalación de software (Puerta abierta si se permite que los usuarios puedan instalar software en las maquinas ya que habrán lios a nivel de licenciamiento y en temas de seguridad)

A.12.7 Consideraciones sobre la auditoría de sistemas de información

	A.12.7.1 Controles de auditoria de sistemas de información (Monitorear controles de datos, integridad de datos cuando se ingresan en un formulario, directrices y lineamientos)

Anexo A = Infinito y mas alla…

Me parece que el anexo A es extenso, pero con el pasar del curso concuerdo con el profesor, el anexo A cubre toda la seguridad de la empresa

Este curso es increiblemente ameno profe, la verdad es que aprendi muchisimo y las clases son muy llevaderas, la verdad es que lo felicito.

¡Excelente! justo estoy tomando responsabilidades en Seguridad de la Información en la empresa donde laboro, este curso me está apoyando a interpretar e implementar de manera correcta estos controles y sobre todo la importancia de la materia.

El conocimiento no debe ser tácito.

Es mucha informacion pero todo muy bien explicado, muy buenas las clases

Excelentes las clases

El tema es muy teórico, pero es muy necesario e interesante… Los ejemplos del profesor son buenos y hacen entender mejor cada control

El anexo A resulta algo bastante extenso, pero todo esta basado en los fundamentos principales de seguridad informática, y por esto a medida que profundizas los puntos resultan intuitivos.

Es mas , yo creo que los hackers de sombrero negro saben todos estos detalles ya que la ISO 27001 se ha ido modificando de acuerdo a los cambios en las vulnerabilidades

Es increíblemente importante este Anexo A. Sorprendido de cómo estos 14 Grupos y 114 Controles abarcan todo el contexto de la empresa y como este SGSI es flexible con todo tamaño de empresa.
.
He trabajado en 4 empresas a lo largo de mi carrera, ninguna tiene la certificación ISO27K, lo que si hacen es aplicar los Controles del Anexo A, de acuerdo a su necesidad y los incidentes que vayan ocurriendo, como dice por ahi, “Mientras vamos viendo, vamos aplicando”. Es ejemplo de Seguridad, en un empresa normalmente nunca se aplica, si no cuando la Alta Gerencia se motiva a hacer cuando ya han tenido una perdida de datos por esta falta de cumplimiento. Normalmente las empresas están todo el tiempo enfocadas en Vender y Mantener las Operaciones, que descuidan este tipo de cosas.

Este curso me parece muy importante para quienes trabajamos en el área de infraestructura y soporte a usuarios. Veo que esto puede tomar mucho tiempo para asimilarlo y sobre todo para elaborar los formatos que se requieren para registrar toda la información pertinente.

la restauracion tiene un alto riesgo en caso de que falle y no se pueda hacer una restauracion total. de echo el riesgo es tan alto que es una parte que no ejecutamos.

en mi empresa el anexo A es muy controlado y aplicado . usamos linux como S.O entonces protegidos .
copias de seguridad buenas . instalaciones de software buenas y más

Muy interesante

Me gusta mucho el curso, eres un grande atovarg, solo que me da miedo intentar poner a prueba todas estas enseñanzas

El conocimiento tácito debe volverse especifico, ósea embeberse en procesos, procedimientos, manual etc.

Esta implementación se facilita con el involucramiento de la alta gerencia, realizar varias estrategias para la adaptación al cambio, tomar las buenas prácticas del modelo a las medidas de la organización y tener claro los controles que no se aplican. Si la organización ya tiene modelos ISO adaptados como ISO 9001.2015 se logra en dos años en promedio, si no, se llevar más tiempo.