Muy buen video.
Poco a poco me voy empapndo de los contenidos de la norma iso27001.
Es interesante el consejo que da el maestro sobre que tu debes de dirigir y capacitar, debes de ser apoyado por el o los compañeros de los ámbitos específicos.
Debo echarme un clavado en este documento de excel.
Introducción a la norma ISO 27001
Qué aprenderás sobre la norma ISO 27001
Historia de la norma ISO27001
Principios generales de la seguridad de la información
El Sistema de Gestión de Seguridad de la Información
Contenido de la norma
Términos y definiciones
¿En qué consiste la ISO27001?
Liderazgo y planificación
Soporte, operación, evaluación y mejora
Introducción al anexo A
Últimos elementos del anexo A
Gestión de Riesgos
Clasificación de los activos de información
Inventario de activos de información
Laboratorio: construyendo una matriz de activos de información
Finalizar la revisión de la matriz de activos de información
Niveles de riesgo
Tratamiento de riesgo
Los controles
Laboratorio: construyendo una matriz de riesgos
Revisión de los controles y mapa de calor de la matriz de riesgos
Las tres líneas de defensa
ISO 27001: declaración de aplicabilidad
Controles de seguridad: Políticas y controles de acceso
Política de seguridad de la información y gestión de activos
Controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Seguridad física y del entorno, de las operaciones y las comunicaciones
Seguridad de las operaciones
Seguridad de las comunicaciones
Controles de seguridad: Sistemas de información
Requisitos de seguridad en sistemas de información
Laboratorio: aplicar una lista de verificación
Relación con proveedores
Cumplimiento
Auditoría
¿Qué es auditoría?
Términos de la auditoría
Fases de una auditoría
Resultados de la auditoría
Laboratorio: realizar el reporte de algunas no conformidades
Gestión de la Continuidad del Negocio
BCP, BIA, RTO y RPO
Laboratorio: construyendo un BCP para un solo proceso
Cierre del curso
Simulacro del examen de certificación para Auditor Interno ISO 27001
Conclusiones y cierre del curso
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Si ya tienes una cuenta,
Laboratorio: aplicar una lista de verificación
28/39Recursos
¿Qué es OWLAS Top 10 y cómo se relaciona con ISO 27001?
El OWASP (Open Web Application Security Project) Top 10 es un estándar ampliamente utilizado para la seguridad en aplicaciones web. Al igual que ISO 27001, que es un estándar de gestión de seguridad de la información, OWASP proporciona lineamientos para proteger aplicaciones ante amenazas comunes. El objetivo es garantizar que las aplicaciones sean seguras y estén libres de vulnerabilidades críticas. Este estándar es de gran relevancia ya que, aunque inició enfocado en web, se aplica en diversas arquitecturas, incluida la cliente-servidor.
¿Cómo se aplica OWASP Top 10 en el desarrollo, adquisición y mantenimiento de sistemas?
La clave está en utilizar una plantilla, la cual es posible descargar desde los enlaces correspondientes. La plantilla ayuda a identificar y aplicar controles basados en ISO 27001 para los sistemas de información. El OWASP Top 10, en su versión 3.01 actual, proporciona requisitos de verificación organizados en 19 grupos que describen cómo los desarrolladores deben abordar las principales amenazas de seguridad.
Ejemplo de requisitos de verificación
-
Arquitectura, diseño y modelado de amenazas
- Se deben cumplir 11 requisitos específicos, uno de los cuales es verificar que todos los controles de seguridad, incluidos los servicios externos, tienen una implementación centralizada desde la versión 3.
- Lograr la certificación en tres niveles: nivel 1, básico; nivel 2, aceptable; y nivel 3, óptimo en términos de seguridad.
-
Gestión de sesiones
- Se recomienda garantizar que las sesiones sean únicas por individuo y que sean invalidadas en periodos de inactividad. Existen 18 requisitos bajo este grupo.
-
Protección de datos
- Incluye 11 requisitos para asegurar la confidencialidad, integridad y disponibilidad de los datos. Un requisito es desactivar el almacenamiento de caché en formularios web para información sensible.
¿Cómo lograr que el equipo de desarrollo adopte OWASP Top 10?
Es esencial que el equipo de desarrollo tenga claro estos estándares para implementar un software seguro. Se sugiere:
- Capacitar al personal sobre los requisitos OWASP y las prácticas de seguridad actuales.
- Socializar los estándares y verificación: Entregar una lista inicial de requisitos a integrar en las aplicaciones.
- Adoptar un enfoque gradual: Implementar los estándares en fases para facilitar su adopción.
Al formar un equipo consciente de la seguridad y educado en estas normas, puedes liderar un proceso eficiente que proteja las aplicaciones de tu organización frente a vulnerabilidades. Recuerda que tú, como líder de gestión de seguridad, debes guiar y revisar estos procesos.
Finalmente, la invitación es a compartir experiencias. ¿Cuál consideras que es el requisito de OWASP más desafiante para implementar en tu organización? ¡Comenta para recibir retroalimentación!
Aportes 26
Preguntas 6
Ordenar por:
Que buen archivo, gracias, aunque ya hemos recorrido gran camino en el área de desarrollo esto nos ayudará bastante para ver a todo lo que debemos poner atención
Profe gracias por todo los documentos, en especial este me parece que es excelente y son invaluables para quienes estamos hasta ahora aprendiendo sobre estos temas, GRACIAS!
Excelente archivo. Un gran curso
Impresionante la información y las clases que dicta el profe, indudablemente el oficial de seguridad deberá un crack en esto
Excelente documento para cumplimiento de seguridad a nivel del área de desarrollo TI.
Me parecio de un nivel muy alto este documento, exelente el aporte del maestro.
Excelente clase!
el documento que se presenta es muy completo y de valiosa información
tambien es muy practico.
Excelente este documento, para cualquier empresa de desarrollo que necesite implementar un nuevo sistema, y tener en claro todo lo que se debe verificar para tener un sistema seguro
Genial este Curso , \nMuy Buen Material \nEl Spreadsheet Yo lo he tomado con LibreOffice y esta muy bueno el Documento. es bastante explicito. \n
Hasta este punto del curso ¿cuántos archivos o matrices se deben tener y cuáles son? ?
Gracias profe, por compartir los recurso necesarios ; sin duda nos va ayudar en mucho, en el gran mundo de la iso27001.
Otra vez, un herramiento (o aporte) bien preparada.
El mejor curso de la iso 27001, que he tomado.
A pesar de que el temario es complejo y amplio, es muy buena la interacción y el como se desenvuelve el prof en el tema.
A nivel de correlacionador de eventos me parece complejo como se extrae, convierte y visualiza la información sin incumplir politicas de seguridad al igual de exponer alguna vulnerabilidad tendiendo presente el almacenamiento e ingeniería social al punto de lograr poner de acuerdo el código propuesto con el estándar OWASP top 10
Excelente plantilla!!! 👍🏽
Como anillo al dedo para un test de mi app!
Excelente documento para verificar y validar la seguridad en softwares y aplicaciones (web, moviles y desktop).
Uno de los principales problemas son los servicios web basados en lenguajes de programación antiguos, los cuales muchas veces, no permiten realizar actualizaciones, el equipo de desarrollo pone mucho resistencia a actualizar para agregar seguridad.
Excelente documento gracias.
Super esta info y que + el open source.
Genial, realmente es un aporte 100% práctico en el área de desarrollo.
Gracias!
Excelente documento para la revisión de la seguridad del desarrollo de aplicaciones.
A que versión del OWASP es el archivo?
Un documento muy útil, muchas gracias profesor
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?