Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Fases de una auditoría

33/39
Recursos

Aportes 26

Preguntas 5

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Fases de una Auditoría

  1. Preparación de la auditoria

  2. Plan de auditoria - Lista de Verificación

  3. Reunión de apertura

  4. Identificación de riesgos

  5. Ejecución(Trabajo de campo)

  6. Presentación Hallazgos

  7. Emisión informe borrador

  8. Solicitud de planes de acción

  9. Emisión de informe oficial

  10. Seguimiento planes de acción

Comparto mis apuntes de la clase por si les sirven los consejos que da el profesor:

1. Preparación de la auditoria
	a. Preparar tus recursos, saber con cuantos auditores vas a tener disponibles
	b. Documentarte muy bien acerca del proceso o componente a auditar
2. Plan de auditoria - Lista de Verificación
	a. Definir los elementos a auditar con el auditor líder, con fecha y duración según el alcance y con fecha límite
3. Reunión de apertura
	a. Te sientas con el auditador, hacer una presentación con el alcance, el equipo, horas estimadas de trabajo, juntar evidencia, hacer claro que no todo el tiempo estarás en la oficina con el auditado
4. Identificación de riesgos
	a. Se empieza el trabajo de campo, obtener los posibles riesgos del proceso, se crea una matriz de riesgos, con riesgos iniciales y los otros saldrán mientras estás con la persona identificando procesos.
5. Ejecución(Trabajo de campo)
	a. Se está con la persona auditada, el responsable del proceso, reuniones donde te contextualizan y te muestra evidencia, se debe definir un protocolo de entrega (pantallazos, documentos) dar tiempo mientras recopila la información
6. Presentación Hallazgos
	a. Después del trabajo de campo se recopilan las evidencias y se determinan los hallazgos y se hace un reporte con las vulnerabilidades, se reporta al jefe o director de esa área, se debe tener buena evidencia y es muy importante documentar todo lo encontrado
7. Emisión informe borrador
	a. Pasar los hallazgos a un informe estructurado, tener alcance, objetivos, trabajo de campo realizado, conclusiones, riesgos, entregar en borrador, realizar cambios, verificar si los cambios no bajan la importancia al hallazgo
8. Solicitud de planes de acción
	a. Según los hallazgos te deben de entregar un plan de acción, o acción correctiva, es el compromiso para suplir y corregirlo encontrado en el hallazgo, definir muy bien y que quede claro quién será el responsable de corregir, también es fundamental la fecha de implementación, usar el juicio ingenieril. También tomar en cuenta que hay procesos que deben de ser continuos como la actualización de la infraestructura.
9. Emisión de informe oficial
	a. Poner ahora sí bien el formato oficial, se agregan los hallazgos con su plan de acción, fecha comprometida y responsable, ahora se hace un reporte oficial que se entregaría al oficial externo cuando realmente se vaya a certificar en la ISO
10. Seguimiento planes de acción
	a. Según el plan de acción, revisar los compromisos que quedaron, pueden atrasarse o terminar bien, y se necesita ir documentando todo lo que suceda y reportar al comité de auditoría y al director general.

Creo que la fase de seguimiento de planes de acción puede llegar a requerir mas esfuerzo por que involucra un cambio en el proceso de cada área responsable de implementar el plan este plan de acción.

sería espectacular si el instructor nos pudiera facilitar una auditoría realizada en el pasado (se puede quitar el nombre de la empresa) donde se detallen todas estas etapas para tener al menos un modelo donde basarnos para nuestro ejercer.

  • Fases de una auditoria:
  1. Preparación de la auditoria: Preparar recursos, cuantos auditores colaboraran, correcta documentación, que procesos o componentes tecnológico se revisara.
  2. Plan de auditoria - Lista de Verificación: Definir el plan con el auditor líder, definir que procesos y fechas.
  3. Reunión de apertura: Reunión con el auditado, presentándole ( el alcance de la auditoria, el equipo auditor, horas estimadas de trabajo )
  4. Identificación de riesgos: Trabajo de campo, preparar posibles riesgos, apoyarse con la matriz de riesgo.
  5. Ejecución(Trabajo de campo): Sentado en sitio con la persona responsable del proceso, reuniones donde te contextualiza y te entrega la evidencia.
  6. Presentación Hallazgos: Después del trabajo de campo, identificar la evidencia y revisar todo lo anterior -> documentación y procesos. Para este apartado se debe tener el suficiente soporte para mencionar a los responsables que ese proceso tiene algunas fallas.
  7. Emisión informe borrador: Trasladar los hallazgos a una estructura de informe, depende del formato de la organización, alcance, objetivos, trabajo de campo, conclusiones, riesgos.
  8. Solicitud de planes de acción: Esas no conformidades, en la auditoria, se debe esperar a recibir una plan de acción por cada una de ellas, o una acción correctiva, que es un compromiso para suplir o mitigar o subsanar el hallazgo. (Tener en cuenta quien será el encargado de subsanar este hallazgo, y la fecha de implementación)
  9. Emisión de informe oficial: Poner ahora sí bien el formato oficial, se agregan los hallazgos con su plan de acción, fecha comprometida y responsable, ahora se hace un reporte oficial que se entregaría al oficial externo cuando realmente se vaya a certificar en la ISO
  10. Seguimiento planes de acción: Revisar que los cambios se hallan realizado, la auditoria no termina si los compromisos de la solicitud de planes de acción no se cumplieron.

La fase de emisión de informes… hay algun curso para redacccion de informe sen platzi? help!

como se hace un plan de auditoria y lista de verificacion, profee Alex ?? agraedceria su respuesta

Hola Alex!
nos podría apoyar con un modelo?
Gracias!

Me parecen importantes los tips que maneja el maestro. Tomate tu tiempo y escribelos.

Creo yo que lo complicado como Auditor es mantener una buena conversación con Gerencia cuando de pronto tengas que ser firme en algunos puntos que se deban mejorar.

Fases de una auditoría

  1. Preparación de auditoría -> Preparar tus recursos y a las personas. Documentar todo.
  2. Plan de auditoría y Lista de verificación -> Definir el plan y fechas.
  3. Reunión de apertura -> Sentarte con la persona para darle el alcance y todos los detalles de la auditoría.
  4. Identificación de Riegos -> Matriz de riesgos.
  5. Ejecución (Trabajo de campo) -> Trabajar.
  6. Presentación de hallazgos -> Mostrar lo que has encontrado con pruebas.
  7. Emisión del informe borrador -> Documentación, pero como borrador.
  8. Solicitud de planes de acción -> Tener las acciones correctivas.
  9. Emisión de informe oficial -> Documentación oficial.
  10. Seguimiento de planes de acción -> Asegurarse de que se cumplen los trabajos.

Fases de una Auditoría

  1. Preparación de la auditoria.
  2. Plan de auditoria (Lista de Verificación)
  3. Reunión de apertura.
  4. Identificación de riesgos.
  5. Ejecución (Trabajo de campo).
  6. Presentación Hallazgos.
  7. Emisión informe borrador.
  8. Solicitud de planes de acción.
  9. Emisión de informe oficial.
  10. Seguimiento planes de acción.

La auditoría según la norma ISO 27001 consta de varias fases

  1. Planificación: En esta fase, se define el alcance de la auditoría, se determinan los objetivos y se elabora un plan de auditoría. Se establece el equipo de auditoría, se identifican los recursos necesarios y se acuerda la fecha y duración de la auditoría.

  2. Recopilación de información: En esta etapa, se recopila información sobre el sistema de gestión de seguridad de la información de la organización que será auditado. Se revisan documentos como la política de seguridad, procedimientos, registros, y otros documentos relacionados.

  3. Realización de la auditoría: Esta fase implica llevar a cabo la auditoría en sí. Se realizan entrevistas con el personal, se inspeccionan las instalaciones y se revisan los controles implementados. Durante esta etapa, se recopila evidencia objetiva para evaluar el cumplimiento de los requisitos de la norma ISO 27001.

  4. Análisis de la información: En esta etapa, se analiza la información recopilada durante la auditoría para evaluar el cumplimiento del sistema de gestión de seguridad de la información. Se comparan los hallazgos con los requisitos de la norma ISO 27001 y se determinan las no conformidades o áreas de mejora.

  5. Informe de auditoría: Se redacta un informe detallado que resume los resultados de la auditoría. Este informe incluye los hallazgos, las no conformidades identificadas, las áreas de mejora y las recomendaciones para la organización.

  6. Seguimiento y cierre de acciones: Después de recibir el informe de auditoría, la organización debe tomar medidas para abordar las no conformidades y las áreas de mejora identificadas. Se establecen acciones correctivas y preventivas para resolver los problemas y se realiza un seguimiento para garantizar que se implementen adecuadamente.

Presentacion Hallazgos

La** emisión del informe oficial **de auditoría, es una de las etapas más importantes y complejas, que va requerir el mayor cuidado en su elaboración para tomar una decisión final.

Desde la fase de presentación de hallazgos la cosa se pone mal mal.

  1. Preparación de la auditoria, conocer la tecnología y/o componentes a utilizar.
  2. Plan de auditoria - Lista de Verificación, en la cual se definen las fechas de todo el proceso de auditoria.
  3. Reunión de apertura, se le presenta el equipo de auditoria, el alcance y la cantidad horaria.
  4. Identificación de riesgos, realizar una matriz de riesgos.
  5. Ejecución(Trabajo de campo), estar en el lugar de trabajo con el equipo de la empresa, se esta revisando evidencia.
  6. Presentación Hallazgos, durante este proceso uno comenta al cliente como resulto la auditoria.
  7. Emisión informe borrador, en caso de necesitar cambios se debe revisar muy bien cuales son debido a que los cambios no pueden baja la importancia de lo que ya has investigado.
  8. Solicitud de planes de acción, se muestran los hallazgos que se tuvieron.
  9. Emisión de informe oficial, este incluye los planes de acción que debe tener la empresa.
  10. Seguimiento planes de acción, realizar una revisión despues de que se cumpla el tiempo en el que la empresa va a realizar los compromisos.
Se puede ver y evidenciar que tanto la preparación como la manera de explicar de un tutor es fundamental en cualquier área y/o tema. Me parece que las iso en ciertos términos suelen ser aburridas para algunas personas que suelen ser más de campo (incluyéndome) pero la manera en cómo explica, imteractua y da ejemplos este profesor es muy buena, fenomenal diría yo.

Excellentes puntos!

Mas claro imposible…

Identificación de riesgos, ya que lleva mucho tiempo y requiere involucrar a todas las partes de la organización.

La solicitud de planes de acción me parece que es lo más complicado, ya que este depende mucho de la voluntad de terceros y no tanto de la tuya.

La solicitud de planes de acción, creo que es lo mas importante.

Creeria que la ejecuccion es lo mas demorado

Muy completa la clase

Muy bueno los aportes profe