Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Laboratorio: realizar el reporte de algunas no conformidades

35/39
Recursos

Aportes 10

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Área Auditada Gerencia de tecnología

  1. Detalles de la No Conformidad
    ☒Auditoría Interna ☐Otros _______________________
    ☐Revisión de la Dirección
    ☐Auditoría Externa

  2. REFERENCIAS: Documentos o Registros (Ejemplo: Manuales, Procedimientos, Flujogramas, Normativas, Logs)

PROCEDIMIENTO DE ACTUALIZACION BASE DE DATOS ANTIVIRUS.

  1. NO CONFORMIDAD: Descripción de la No Conformidad, Situación de Incumplimiento o Hallazgo
    Se evidenció que la consola de administración del antivirus presenta desconexiones frecuentes con fabricante, lo que ocasiona que la base de datos no se actualiza debidamente

Detectado u Observado por: Carlos Pérez Área o Departamento:
Auditoria Interna
4. CONTROL O REQUISITO ASOCIADO: (Cláusula de la ISO/IEC 27001)

A.12.2.1 Controles contra código malicioso

Presentado por: Alex Tovar

Fecha: 2/07/2020
  1. CLASIFICACIÓN DE LA NO CONFORMIDAD (Mayor o Menor)
    Mayor

Líder del Equipo Auditor: Fecha de Revisión: Haga clic aquí o pulse para escribir una fecha.

Fecha de Aceptación: Haga clic aquí o pulse para escribir una fecha.

Buena clase!

En caso de usar Word, recomiendo el uso de campos y plantillas.

A veces abruma mucha información pero con experiencia se logra automatizar estos procesos

Recuerden que se debe realizar un formato por cada no conformidad.

  1. Identificar y documentar las no conformidades: Durante la auditoría, se identificarán las no conformidades, es decir, las áreas donde se ha encontrado que el sistema de gestión de seguridad de la información no cumple con los requisitos de la norma. Documenta cada no conformidad de manera clara y concisa, asegurándote de incluir detalles como la descripción de la no conformidad, la ubicación o proceso afectado y cualquier otra información relevante.

  2. Clasificar las no conformidades: Clasifica las no conformidades según su gravedad o impacto en la seguridad de la información. Puedes utilizar una escala o categorías predefinidas para ello. Por ejemplo, podrías utilizar clasificaciones como “menor”, “importante” y “crítica” para distinguir entre las no conformidades de menor importancia y las que requieren una atención inmediata.

  3. Describir las causas raíz: Para cada no conformidad identificada, trata de identificar las causas subyacentes que llevaron a esa situación. Esto implica indagar más allá de los síntomas superficiales y buscar las razones fundamentales de la no conformidad. Al entender las causas raíz, será más efectivo desarrollar acciones correctivas adecuadas.

  4. Proponer acciones correctivas: Para cada no conformidad, propón acciones correctivas específicas que aborden las causas raíz identificadas. Estas acciones deben ser realistas, factibles y orientadas a resolver la no conformidad de manera efectiva. Asegúrate de que las acciones sean claras y se puedan implementar de manera práctica.

  5. Establecer responsabilidades y plazos: Asigna responsabilidades claras a las personas encargadas de implementar las acciones correctivas. Establece plazos realistas para completar las acciones y asegúrate de que las personas responsables estén adecuadamente capacitadas y tengan los recursos necesarios para llevar a cabo las tareas asignadas.

  6. Seguimiento y verificación: Realiza un seguimiento de las acciones correctivas para asegurarte de que se implementen según lo planeado. Verifica la efectividad de las acciones y realiza las correcciones necesarias si no se obtienen los resultados esperados. Esto implica revisar nuevamente el sistema de gestión de seguridad de la información para asegurarse de que se haya abordado adecuadamente la no conformidad.

  7. Documentar el reporte de no conformidades: Finalmente, documenta todo el proceso de no conformidades, incluyendo las descripciones, clasificaciones, causas raíz, acciones correctivas propuestas, responsabilidades asignadas y los resultados del seguimiento. Este reporte de no conformidades servirá como un registro formal de las acciones tomadas y puede ser utilizado para futuras referencias o auditorías.

¿En que apartado se debería de abordar el tema de actualización tecnológica?

Un formato muy completo… 👍🏽

debo diligenciar un formato por cada hallazgo?