Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Laboratorio: realizar el reporte de algunas no conformidades

35/39
Recursos

Aportes 10

Preguntas 2

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

脕rea Auditada Gerencia de tecnolog铆a

  1. Detalles de la No Conformidad
    鈽扐uditor铆a Interna 鈽怬tros _______________________
    鈽怰evisi贸n de la Direcci贸n
    鈽怉uditor铆a Externa

  2. REFERENCIAS: Documentos o Registros (Ejemplo: Manuales, Procedimientos, Flujogramas, Normativas, Logs)

PROCEDIMIENTO DE ACTUALIZACION BASE DE DATOS ANTIVIRUS.

  1. NO CONFORMIDAD: Descripci贸n de la No Conformidad, Situaci贸n de Incumplimiento o Hallazgo
    Se evidenci贸 que la consola de administraci贸n del antivirus presenta desconexiones frecuentes con fabricante, lo que ocasiona que la base de datos no se actualiza debidamente

Detectado u Observado por: Carlos P茅rez 脕rea o Departamento:
Auditoria Interna
4. CONTROL O REQUISITO ASOCIADO: (Cl谩usula de la ISO/IEC 27001)

A.12.2.1 Controles contra c贸digo malicioso

Presentado por: Alex Tovar

Fecha: 2/07/2020
  1. CLASIFICACI脫N DE LA NO CONFORMIDAD (Mayor o Menor)
    Mayor

L铆der del Equipo Auditor: Fecha de Revisi贸n: Haga clic aqu铆 o pulse para escribir una fecha.

Fecha de Aceptaci贸n: Haga clic aqu铆 o pulse para escribir una fecha.

Buena clase!

En caso de usar Word, recomiendo el uso de campos y plantillas.

A veces abruma mucha informaci贸n pero con experiencia se logra automatizar estos procesos

Recuerden que se debe realizar un formato por cada no conformidad.

  1. Identificar y documentar las no conformidades: Durante la auditor铆a, se identificar谩n las no conformidades, es decir, las 谩reas donde se ha encontrado que el sistema de gesti贸n de seguridad de la informaci贸n no cumple con los requisitos de la norma. Documenta cada no conformidad de manera clara y concisa, asegur谩ndote de incluir detalles como la descripci贸n de la no conformidad, la ubicaci贸n o proceso afectado y cualquier otra informaci贸n relevante.

  2. Clasificar las no conformidades: Clasifica las no conformidades seg煤n su gravedad o impacto en la seguridad de la informaci贸n. Puedes utilizar una escala o categor铆as predefinidas para ello. Por ejemplo, podr铆as utilizar clasificaciones como 鈥渕enor鈥, 鈥渋mportante鈥 y 鈥渃r铆tica鈥 para distinguir entre las no conformidades de menor importancia y las que requieren una atenci贸n inmediata.

  3. Describir las causas ra铆z: Para cada no conformidad identificada, trata de identificar las causas subyacentes que llevaron a esa situaci贸n. Esto implica indagar m谩s all谩 de los s铆ntomas superficiales y buscar las razones fundamentales de la no conformidad. Al entender las causas ra铆z, ser谩 m谩s efectivo desarrollar acciones correctivas adecuadas.

  4. Proponer acciones correctivas: Para cada no conformidad, prop贸n acciones correctivas espec铆ficas que aborden las causas ra铆z identificadas. Estas acciones deben ser realistas, factibles y orientadas a resolver la no conformidad de manera efectiva. Aseg煤rate de que las acciones sean claras y se puedan implementar de manera pr谩ctica.

  5. Establecer responsabilidades y plazos: Asigna responsabilidades claras a las personas encargadas de implementar las acciones correctivas. Establece plazos realistas para completar las acciones y aseg煤rate de que las personas responsables est茅n adecuadamente capacitadas y tengan los recursos necesarios para llevar a cabo las tareas asignadas.

  6. Seguimiento y verificaci贸n: Realiza un seguimiento de las acciones correctivas para asegurarte de que se implementen seg煤n lo planeado. Verifica la efectividad de las acciones y realiza las correcciones necesarias si no se obtienen los resultados esperados. Esto implica revisar nuevamente el sistema de gesti贸n de seguridad de la informaci贸n para asegurarse de que se haya abordado adecuadamente la no conformidad.

  7. Documentar el reporte de no conformidades: Finalmente, documenta todo el proceso de no conformidades, incluyendo las descripciones, clasificaciones, causas ra铆z, acciones correctivas propuestas, responsabilidades asignadas y los resultados del seguimiento. Este reporte de no conformidades servir谩 como un registro formal de las acciones tomadas y puede ser utilizado para futuras referencias o auditor铆as.

驴En que apartado se deber铆a de abordar el tema de actualizaci贸n tecnol贸gica?

Un formato muy completo鈥 馃憤馃徑

debo diligenciar un formato por cada hallazgo?