Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

A煤n no tienes acceso a esta clase

Crea una cuenta y contin煤a viendo este curso

Fases de una auditor铆a

33/39
Recursos

Aportes 20

Preguntas 5

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

Fases de una Auditor铆a

  1. Preparaci贸n de la auditoria

  2. Plan de auditoria - Lista de Verificaci贸n

  3. Reuni贸n de apertura

  4. Identificaci贸n de riesgos

  5. Ejecuci贸n(Trabajo de campo)

  6. Presentaci贸n Hallazgos

  7. Emisi贸n informe borrador

  8. Solicitud de planes de acci贸n

  9. Emisi贸n de informe oficial

  10. Seguimiento planes de acci贸n

Comparto mis apuntes de la clase por si les sirven los consejos que da el profesor:

1. Preparaci贸n de la auditoria
	a. Preparar tus recursos, saber con cuantos auditores vas a tener disponibles
	b. Documentarte muy bien acerca del proceso o componente a auditar
2. Plan de auditoria - Lista de Verificaci贸n
	a. Definir los elementos a auditar con el auditor l铆der, con fecha y duraci贸n seg煤n el alcance y con fecha l铆mite
3. Reuni贸n de apertura
	a. Te sientas con el auditador, hacer una presentaci贸n con el alcance, el equipo, horas estimadas de trabajo, juntar evidencia, hacer claro que no todo el tiempo estar谩s en la oficina con el auditado
4. Identificaci贸n de riesgos
	a. Se empieza el trabajo de campo, obtener los posibles riesgos del proceso, se crea una matriz de riesgos, con riesgos iniciales y los otros saldr谩n mientras est谩s con la persona identificando procesos.
5. Ejecuci贸n(Trabajo de campo)
	a. Se est谩 con la persona auditada, el responsable del proceso, reuniones donde te contextualizan y te muestra evidencia, se debe definir un protocolo de entrega (pantallazos, documentos) dar tiempo mientras recopila la informaci贸n
6. Presentaci贸n Hallazgos
	a. Despu茅s del trabajo de campo se recopilan las evidencias y se determinan los hallazgos y se hace un reporte con las vulnerabilidades, se reporta al jefe o director de esa 谩rea, se debe tener buena evidencia y es muy importante documentar todo lo encontrado
7. Emisi贸n informe borrador
	a. Pasar los hallazgos a un informe estructurado, tener alcance, objetivos, trabajo de campo realizado, conclusiones, riesgos, entregar en borrador, realizar cambios, verificar si los cambios no bajan la importancia al hallazgo
8. Solicitud de planes de acci贸n
	a. Seg煤n los hallazgos te deben de entregar un plan de acci贸n, o acci贸n correctiva, es el compromiso para suplir y corregirlo encontrado en el hallazgo, definir muy bien y que quede claro qui茅n ser谩 el responsable de corregir, tambi茅n es fundamental la fecha de implementaci贸n, usar el juicio ingenieril. Tambi茅n tomar en cuenta que hay procesos que deben de ser continuos como la actualizaci贸n de la infraestructura.
9. Emisi贸n de informe oficial
	a. Poner ahora s铆 bien el formato oficial, se agregan los hallazgos con su plan de acci贸n, fecha comprometida y responsable, ahora se hace un reporte oficial que se entregar铆a al oficial externo cuando realmente se vaya a certificar en la ISO
10. Seguimiento planes de acci贸n
	a. Seg煤n el plan de acci贸n, revisar los compromisos que quedaron, pueden atrasarse o terminar bien, y se necesita ir documentando todo lo que suceda y reportar al comit茅 de auditor铆a y al director general.

ser铆a espectacular si el instructor nos pudiera facilitar una auditor铆a realizada en el pasado (se puede quitar el nombre de la empresa) donde se detallen todas estas etapas para tener al menos un modelo donde basarnos para nuestro ejercer.

Creo que la fase de seguimiento de planes de acci贸n puede llegar a requerir mas esfuerzo por que involucra un cambio en el proceso de cada 谩rea responsable de implementar el plan este plan de acci贸n.

  • Fases de una auditoria:
  1. Preparaci贸n de la auditoria: Preparar recursos, cuantos auditores colaboraran, correcta documentaci贸n, que procesos o componentes tecnol贸gico se revisara.
  2. Plan de auditoria - Lista de Verificaci贸n: Definir el plan con el auditor l铆der, definir que procesos y fechas.
  3. Reuni贸n de apertura: Reuni贸n con el auditado, present谩ndole ( el alcance de la auditoria, el equipo auditor, horas estimadas de trabajo )
  4. Identificaci贸n de riesgos: Trabajo de campo, preparar posibles riesgos, apoyarse con la matriz de riesgo.
  5. Ejecuci贸n(Trabajo de campo): Sentado en sitio con la persona responsable del proceso, reuniones donde te contextualiza y te entrega la evidencia.
  6. Presentaci贸n Hallazgos: Despu茅s del trabajo de campo, identificar la evidencia y revisar todo lo anterior -> documentaci贸n y procesos. Para este apartado se debe tener el suficiente soporte para mencionar a los responsables que ese proceso tiene algunas fallas.
  7. Emisi贸n informe borrador: Trasladar los hallazgos a una estructura de informe, depende del formato de la organizaci贸n, alcance, objetivos, trabajo de campo, conclusiones, riesgos.
  8. Solicitud de planes de acci贸n: Esas no conformidades, en la auditoria, se debe esperar a recibir una plan de acci贸n por cada una de ellas, o una acci贸n correctiva, que es un compromiso para suplir o mitigar o subsanar el hallazgo. (Tener en cuenta quien ser谩 el encargado de subsanar este hallazgo, y la fecha de implementaci贸n)
  9. Emisi贸n de informe oficial: Poner ahora s铆 bien el formato oficial, se agregan los hallazgos con su plan de acci贸n, fecha comprometida y responsable, ahora se hace un reporte oficial que se entregar铆a al oficial externo cuando realmente se vaya a certificar en la ISO
  10. Seguimiento planes de acci贸n: Revisar que los cambios se hallan realizado, la auditoria no termina si los compromisos de la solicitud de planes de acci贸n no se cumplieron.

La fase de emisi贸n de informes鈥 hay algun curso para redacccion de informe sen platzi? help!

Fases de una auditor铆a

  1. Preparaci贸n de auditor铆a -> Preparar tus recursos y a las personas. Documentar todo.
  2. Plan de auditor铆a y Lista de verificaci贸n -> Definir el plan y fechas.
  3. Reuni贸n de apertura -> Sentarte con la persona para darle el alcance y todos los detalles de la auditor铆a.
  4. Identificaci贸n de Riegos -> Matriz de riesgos.
  5. Ejecuci贸n (Trabajo de campo) -> Trabajar.
  6. Presentaci贸n de hallazgos -> Mostrar lo que has encontrado con pruebas.
  7. Emisi贸n del informe borrador -> Documentaci贸n, pero como borrador.
  8. Solicitud de planes de acci贸n -> Tener las acciones correctivas.
  9. Emisi贸n de informe oficial -> Documentaci贸n oficial.
  10. Seguimiento de planes de acci贸n -> Asegurarse de que se cumplen los trabajos.

Fases de una Auditor铆a

  1. Preparaci贸n de la auditoria.
  2. Plan de auditoria (Lista de Verificaci贸n)
  3. Reuni贸n de apertura.
  4. Identificaci贸n de riesgos.
  5. Ejecuci贸n (Trabajo de campo).
  6. Presentaci贸n Hallazgos.
  7. Emisi贸n informe borrador.
  8. Solicitud de planes de acci贸n.
  9. Emisi贸n de informe oficial.
  10. Seguimiento planes de acci贸n.

como se hace un plan de auditoria y lista de verificacion, profee Alex ?? agraedceria su respuesta

Excellentes puntos!

Creo yo que lo complicado como Auditor es mantener una buena conversaci贸n con Gerencia cuando de pronto tengas que ser firme en algunos puntos que se deban mejorar.

Mas claro imposible鈥

Hola Alex!
nos podr铆a apoyar con un modelo?
Gracias!

Identificaci贸n de riesgos, ya que lleva mucho tiempo y requiere involucrar a todas las partes de la organizaci贸n.

La solicitud de planes de acci贸n me parece que es lo m谩s complicado, ya que este depende mucho de la voluntad de terceros y no tanto de la tuya.

La solicitud de planes de acci贸n, creo que es lo mas importante.

Creeria que la ejecuccion es lo mas demorado

Me parecen importantes los tips que maneja el maestro. Tomate tu tiempo y escribelos.

Muy completa la clase

Muy bueno los aportes profe