Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

¿Qué es auditoría?

31/39
Recursos

Aportes 14

Preguntas 5

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

o inicia sesión.

¿Qué es auditoria?
Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, para determinar que tanto se cumplen los criterios de la auditoria.

Sistemático: Planeado
Independiente: El auditor es libre de elegir el área a auditar.
Documentado: Que tenga un soporte escrito.
Evidencia: Corroborar la veracidad de lo indicado por el auditado.
Se cumplen: Verificar las tareas realizadas.
Evaluarla objetivamente: Capacidad técnica por parte del auditor.
Criterios de auditoria: Que se va revisar específicamente

Tipos de Auditoria
Interna .- Dentro de la organización. de primera parte.
Externa .- Internacionales. de segunda y tercera parte.(cada año)

  • Auditoria:
    Proceso que te indica que mejorar, cuales son los lineamientos y mejoras que debes implementar en el sistema.
    Definición ISO 19011: ‘Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en que grado se cumplen los criterios de la auditoria’.
    Sistemático: Son una actividad programada y planificada, no puede ser sorpresa, ya que puedes estar realizando otra actividad.
    Independiente: Todos las áreas se pueden revisar sin tener en cuenta las demás.
    Documentada: Todas las revisiones deben estar documentadas, todos los ítems, objetivos de la auditoria, recursos.
    Evidencia: Constatar la autenticidad del auditor.
    Se cumplen: Verificar los procesos y validarlos cuando se realicen.
    Evaluarla objetivamente: Con el criterio de auditor, confirmar que las características de la organización se cumplan con evidencia, entonces el auditor debe conocer la ISO 27001 y la capacidad técnica para saber realmente el proceso es legitimo.
    Criterios de auditoria: Lo que se revisara.

Tipos de Auditoria:
Interna -> De primera parte. (Área que se encuentra en la misma organización, los auditores deben estar certificados bajo la norma 27001)
Externa -> Se segunda y tercera parte. (Certificación internacional, cuando el SGSI esta preparado y listo cuando se cumple todo)

La auditoria se puede aplicar casi a cualquier giro, buscando la mejora de procesos, productos y/o servicios.
Es parte fundamental aunque a todos les da miedo.

Difinitivamente uno de los mejores profesores de platzi.

¿Qué es auditoria?

“Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en qué grado se cumplen los criterios de la auditoría “ ISO 19011

º Sistemático: Planeado (No aleatorio, las auditorías usualmente son una actividad planificado y programada).

º Independiente: El auditor es libre de elegir el área a auditar (Los auditores son libres de seleccionar las áreas a auditar).

º Documentado: Que tenga un soporte escrito (El proceso de auditoría ha sido publicado como un procedimiento escrito).

º Evidencia: Corroborar la veracidad de lo indicado por el auditado (Pruebas de lo indicado por el auditado).

º Se cumplen: Verificar las tareas realizadas (Ocurren realmente).

º Evaluarla objetivamente: Capacidad técnica por parte del auditor (Compara la evidencia con los criterios de auditoría, usando hechos antes que percepciones subjetivas, opiniones, sentimientos).

º Criterios de auditoría: Que se va revisar específicamente.

Tipos de Auditoria

º Interna: Dentro de la organización de primera parte.

º Externa: Internacionales de segunda y tercera parte.(cada año)

¿Qué es auditoría?

<aside>
📌 ISO 19011

</aside>

Nos dicen cuales son las mejoras que debemos realizar en nuestro sistema de seguridad de la información

“Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en qué grado se cumplen los criterios de la auditoría” - ISO 19011

  • Sistemático: No es algo aleatorio, son actividades planificadas y programadas.
  • Independientes: Los auditores son libres de seleccionar el área a auditar.
  • Documentado: El proceso de auditoria debe ser documentado con la suficiente documentación (Objetivos, alcance, items, etc).
  • Evidencia: Pruebas de lo indicado por el auditado.
  • Se cumplen: Realmente se debe cumplir lo que se esta diciendo.
  • Evaluarla objetivamente: Comparar si lo que se dijo esta realmente bajo la norma ISO 27001 - capacidad tecnica del auditor.
  • Criterios de auditoría: Los elementos sobre los cuales se va a centar la auditoria.

Tipos de auditoria

De primera parte → Interna → Se encuentra dentro de la misma organización, ideal que los auditores internos esten certificados en la norma ISO 27001.

De segunda parte → Externa → Son las certificaciones internacionales

De tercera parte → Externa

Que importante para las empresas que vean el alcance de una buena auditoria, ya que permite mejorar procesos y ver en que punto se encuentra la empresa.
Las empresas deberían de dar mayor relevancia a la auditoria.

Existen maneras de como hacer preguntas como auditor?

Según la norma ISO 27001, la auditoría se refiere al proceso sistemático y documentado de obtener evidencia objetiva y evaluarla de manera objetiva para determinar en qué medida se cumplen los criterios de auditoría. La auditoría en el contexto de la ISO 27001 se realiza para evaluar el sistema de gestión de seguridad de la información de una organización y determinar su conformidad con los requisitos de la norma.

En el contexto de la ISO 27001, una auditoría puede ser realizada internamente por la propia organización (auditoría interna) o por una entidad externa e independiente (auditoría externa). El objetivo de la auditoría es verificar si el sistema de gestión de seguridad de la información de la organización está implementado de manera efectiva, si se cumplen los controles establecidos y si se logran los objetivos de seguridad.

Durante una auditoría, se lleva a cabo la revisión de documentación, entrevistas con el personal, inspección de las instalaciones y revisión de registros, entre otros métodos, con el fin de evaluar el cumplimiento de la organización con los requisitos de la norma ISO 27001 y detectar cualquier desviación o incumplimiento que pueda existir. Los resultados de la auditoría se documentan en un informe de auditoría que proporciona recomendaciones para mejorar el sistema de gestión de seguridad de la información de la organización.

excelente explicacion.

Esto se me hace para las grandes compañias, si bien es cierto que la seguridad no solo es temas de las mismas, ¿como lo deberían de abordar las PyMEs?, no hay tanto presupuesto para esto

Una auditoría debe estar perfectamente documentada con evidencia, tiene que ser independiente y sistemática, además de que se debe evaluar objetivamente con ciertos criterios, hay tanto internas como externas.

Excelentemente bien realizada esta clase.