Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Laboratorio: aplicar una lista de verificación

28/39
Recursos

¿Qué es OWLAS Top 10 y cómo se relaciona con ISO 27001?

El OWASP (Open Web Application Security Project) Top 10 es un estándar ampliamente utilizado para la seguridad en aplicaciones web. Al igual que ISO 27001, que es un estándar de gestión de seguridad de la información, OWASP proporciona lineamientos para proteger aplicaciones ante amenazas comunes. El objetivo es garantizar que las aplicaciones sean seguras y estén libres de vulnerabilidades críticas. Este estándar es de gran relevancia ya que, aunque inició enfocado en web, se aplica en diversas arquitecturas, incluida la cliente-servidor.

¿Cómo se aplica OWASP Top 10 en el desarrollo, adquisición y mantenimiento de sistemas?

La clave está en utilizar una plantilla, la cual es posible descargar desde los enlaces correspondientes. La plantilla ayuda a identificar y aplicar controles basados en ISO 27001 para los sistemas de información. El OWASP Top 10, en su versión 3.01 actual, proporciona requisitos de verificación organizados en 19 grupos que describen cómo los desarrolladores deben abordar las principales amenazas de seguridad.

Ejemplo de requisitos de verificación

  1. Arquitectura, diseño y modelado de amenazas

    • Se deben cumplir 11 requisitos específicos, uno de los cuales es verificar que todos los controles de seguridad, incluidos los servicios externos, tienen una implementación centralizada desde la versión 3.
    • Lograr la certificación en tres niveles: nivel 1, básico; nivel 2, aceptable; y nivel 3, óptimo en términos de seguridad.
  2. Gestión de sesiones

    • Se recomienda garantizar que las sesiones sean únicas por individuo y que sean invalidadas en periodos de inactividad. Existen 18 requisitos bajo este grupo.
  3. Protección de datos

    • Incluye 11 requisitos para asegurar la confidencialidad, integridad y disponibilidad de los datos. Un requisito es desactivar el almacenamiento de caché en formularios web para información sensible.

¿Cómo lograr que el equipo de desarrollo adopte OWASP Top 10?

Es esencial que el equipo de desarrollo tenga claro estos estándares para implementar un software seguro. Se sugiere:

  • Capacitar al personal sobre los requisitos OWASP y las prácticas de seguridad actuales.
  • Socializar los estándares y verificación: Entregar una lista inicial de requisitos a integrar en las aplicaciones.
  • Adoptar un enfoque gradual: Implementar los estándares en fases para facilitar su adopción.

Al formar un equipo consciente de la seguridad y educado en estas normas, puedes liderar un proceso eficiente que proteja las aplicaciones de tu organización frente a vulnerabilidades. Recuerda que tú, como líder de gestión de seguridad, debes guiar y revisar estos procesos.

Finalmente, la invitación es a compartir experiencias. ¿Cuál consideras que es el requisito de OWASP más desafiante para implementar en tu organización? ¡Comenta para recibir retroalimentación!

Aportes 26

Preguntas 6

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Muy buen video.
Poco a poco me voy empapndo de los contenidos de la norma iso27001.
Es interesante el consejo que da el maestro sobre que tu debes de dirigir y capacitar, debes de ser apoyado por el o los compañeros de los ámbitos específicos.
Debo echarme un clavado en este documento de excel.

Que buen archivo, gracias, aunque ya hemos recorrido gran camino en el área de desarrollo esto nos ayudará bastante para ver a todo lo que debemos poner atención

Profe gracias por todo los documentos, en especial este me parece que es excelente y son invaluables para quienes estamos hasta ahora aprendiendo sobre estos temas, GRACIAS!

Excelente archivo. Un gran curso

Impresionante la información y las clases que dicta el profe, indudablemente el oficial de seguridad deberá un crack en esto

Excelente documento para cumplimiento de seguridad a nivel del área de desarrollo TI.

Me parecio de un nivel muy alto este documento, exelente el aporte del maestro.

Excelente clase!
el documento que se presenta es muy completo y de valiosa información
tambien es muy practico.

Excelente este documento, para cualquier empresa de desarrollo que necesite implementar un nuevo sistema, y tener en claro todo lo que se debe verificar para tener un sistema seguro

Genial este Curso , \nMuy Buen Material \nEl Spreadsheet Yo lo he tomado con LibreOffice y esta muy bueno el Documento. es bastante explicito. \n
Hasta este punto del curso ¿cuántos archivos o matrices se deben tener y cuáles son? ?

Gracias profe, por compartir los recurso necesarios ; sin duda nos va ayudar en mucho, en el gran mundo de la iso27001.

Otra vez, un herramiento (o aporte) bien preparada.

El mejor curso de la iso 27001, que he tomado.

A pesar de que el temario es complejo y amplio, es muy buena la interacción y el como se desenvuelve el prof en el tema.

A nivel de correlacionador de eventos me parece complejo como se extrae, convierte y visualiza la información sin incumplir politicas de seguridad al igual de exponer alguna vulnerabilidad tendiendo presente el almacenamiento e ingeniería social al punto de lograr poner de acuerdo el código propuesto con el estándar OWASP top 10

Excelente plantilla!!! 👍🏽

Como anillo al dedo para un test de mi app!

Excelente documento para verificar y validar la seguridad en softwares y aplicaciones (web, moviles y desktop).

Uno de los principales problemas son los servicios web basados en lenguajes de programación antiguos, los cuales muchas veces, no permiten realizar actualizaciones, el equipo de desarrollo pone mucho resistencia a actualizar para agregar seguridad.

Excelente documento gracias.

Super esta info y que + el open source.

Genial, realmente es un aporte 100% práctico en el área de desarrollo.
Gracias!

Excelente documento para la revisión de la seguridad del desarrollo de aplicaciones.

A que versión del OWASP es el archivo?

Un documento muy útil, muchas gracias profesor