Introducción a la norma ISO 27001
Qué aprenderás sobre la norma ISO 27001
Historia de la norma ISO27001
Principios generales de la seguridad de la información
El Sistema de Gestión de Seguridad de la Información
Contenido de la norma
Términos y definiciones
¿En qué consiste la ISO27001?
Liderazgo y planificación
Soporte, operación, evaluación y mejora
Introducción al anexo A
Últimos elementos del anexo A
Gestión de Riesgos
Clasificación de los activos de información
Inventario de activos de información
Laboratorio: construyendo una matriz de activos de información
Finalizar la revisión de la matriz de activos de información
Niveles de riesgo
Tratamiento de riesgo
Los controles
Laboratorio: construyendo una matriz de riesgos
Revisión de los controles y mapa de calor de la matriz de riesgos
Las tres líneas de defensa
ISO 27001: declaración de aplicabilidad
Controles de seguridad: Políticas y controles de acceso
Política de seguridad de la información y gestión de activos
Controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Seguridad física y del entorno, de las operaciones y las comunicaciones
Seguridad de las operaciones
Seguridad de las comunicaciones
Controles de seguridad: Sistemas de información
Requisitos de seguridad en sistemas de información
Laboratorio: aplicar una lista de verificación
Relación con proveedores
Cumplimiento
Auditoría
¿Qué es auditoría?
Términos de la auditoría
Fases de una auditoría
Resultados de la auditoría
Laboratorio: realizar el reporte de algunas no conformidades
Gestión de la Continuidad del Negocio
BCP, BIA, RTO y RPO
Laboratorio: construyendo un BCP para un solo proceso
Cierre del curso
Simulacro del examen de certificación para Auditor Interno ISO 27001
Conclusiones y cierre del curso
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Aportes 10
Preguntas 2
Área Auditada Gerencia de tecnología
Detalles de la No Conformidad
☒Auditoría Interna ☐Otros _______________________
☐Revisión de la Dirección
☐Auditoría Externa
REFERENCIAS: Documentos o Registros (Ejemplo: Manuales, Procedimientos, Flujogramas, Normativas, Logs)
PROCEDIMIENTO DE ACTUALIZACION BASE DE DATOS ANTIVIRUS.
Detectado u Observado por: Carlos Pérez Área o Departamento:
Auditoria Interna
4. CONTROL O REQUISITO ASOCIADO: (Cláusula de la ISO/IEC 27001)
A.12.2.1 Controles contra código malicioso
Presentado por: Alex Tovar
Fecha: 2/07/2020
Líder del Equipo Auditor: Fecha de Revisión: Haga clic aquí o pulse para escribir una fecha.
Fecha de Aceptación: Haga clic aquí o pulse para escribir una fecha.
Buena clase!
En caso de usar Word, recomiendo el uso de campos y plantillas.
A veces abruma mucha información pero con experiencia se logra automatizar estos procesos
Recuerden que se debe realizar un formato por cada no conformidad.
Identificar y documentar las no conformidades: Durante la auditoría, se identificarán las no conformidades, es decir, las áreas donde se ha encontrado que el sistema de gestión de seguridad de la información no cumple con los requisitos de la norma. Documenta cada no conformidad de manera clara y concisa, asegurándote de incluir detalles como la descripción de la no conformidad, la ubicación o proceso afectado y cualquier otra información relevante.
Clasificar las no conformidades: Clasifica las no conformidades según su gravedad o impacto en la seguridad de la información. Puedes utilizar una escala o categorías predefinidas para ello. Por ejemplo, podrías utilizar clasificaciones como “menor”, “importante” y “crítica” para distinguir entre las no conformidades de menor importancia y las que requieren una atención inmediata.
Describir las causas raíz: Para cada no conformidad identificada, trata de identificar las causas subyacentes que llevaron a esa situación. Esto implica indagar más allá de los síntomas superficiales y buscar las razones fundamentales de la no conformidad. Al entender las causas raíz, será más efectivo desarrollar acciones correctivas adecuadas.
Proponer acciones correctivas: Para cada no conformidad, propón acciones correctivas específicas que aborden las causas raíz identificadas. Estas acciones deben ser realistas, factibles y orientadas a resolver la no conformidad de manera efectiva. Asegúrate de que las acciones sean claras y se puedan implementar de manera práctica.
Establecer responsabilidades y plazos: Asigna responsabilidades claras a las personas encargadas de implementar las acciones correctivas. Establece plazos realistas para completar las acciones y asegúrate de que las personas responsables estén adecuadamente capacitadas y tengan los recursos necesarios para llevar a cabo las tareas asignadas.
Seguimiento y verificación: Realiza un seguimiento de las acciones correctivas para asegurarte de que se implementen según lo planeado. Verifica la efectividad de las acciones y realiza las correcciones necesarias si no se obtienen los resultados esperados. Esto implica revisar nuevamente el sistema de gestión de seguridad de la información para asegurarse de que se haya abordado adecuadamente la no conformidad.
Documentar el reporte de no conformidades: Finalmente, documenta todo el proceso de no conformidades, incluyendo las descripciones, clasificaciones, causas raíz, acciones correctivas propuestas, responsabilidades asignadas y los resultados del seguimiento. Este reporte de no conformidades servirá como un registro formal de las acciones tomadas y puede ser utilizado para futuras referencias o auditorías.
¿En que apartado se debería de abordar el tema de actualización tecnológica?
Un formato muy completo… 👍🏽
debo diligenciar un formato por cada hallazgo?
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?