Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

Aún no tienes acceso a esta clase

Crea una cuenta y continúa viendo este curso

Política de seguridad de la información y gestión de activos

22/39
Recursos

Aportes 9

Preguntas 5

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.

A5 Políticas de seguridad de la información
A5.1 Directrices de gestión de la seguridad de la información
A5.1.1 Políticas para la seguridad de la información
A5.1.2 Revisión de las políticas para la seguridad de la información

A6 Organización de la seguridad de la información
A6.1 Organización interna
A6.1.1 Roles y responsabilidades en seguridad de la información
A6.1.2 Segregación de tareas
A6.1.3 Contacto con las autoridades
A6.1.4 Contacto con grupos de interés especial
A6.1.5 Seguridad de la información en la gestión de proyectos
A6.2 Los dispositivos móviles y el teletrabajo
A6.2.1 Política de dispositivos móviles
A6.2.2 Teletrabajo

A7 Seguridad relativa a los recursos humanos
A7.1 Antes del empleo
A7.1.1 Investigación de antecedentes
A7.1.2 Términos y condiciones del empleo
A7.2 Durante el empleo
A7.2.1 Responsabilidades de gestión
A7.2.2 Concienciación, educación y capacitación en seguridad de la información
A7.2.3 Proceso disciplinario
A7.3 Finalización del empleo o cambio en el puesto de trabajo
A7.3.1 Responsabilidades ante la finalización o cambio

A8 Gestión de activos
A8.1 Responsabilidad sobre los activos
A8.1.1 Inventario de activos
A8.1.2 Propiedad de los activos
A8.1.3 Uso aceptable de los activos
A8.1.4 Devolución de activos
A8.2 Clasificación de la información
A8.2.1 Clasificación de la información
A8.2.2 Etiquetado de la información
A8.2.3 Manipulado de la información
A8.3 Manipulación de los soportes
A8.3.1 Gestión de soportes extraíbles
A8.3.2 Eliminación de soportes
A8.3.3 Soportes físicos en tránsito

![](

Me alegran que se haya incluido una sesión para hablar de cada control del anexo A

Respecto al punto A.8.1.1 me surge una inquietud dentro de inventario de activos deberian entrar tambien los puertos abiertos y los servicios que hay expuestos a traves de esos puertos. Lo digo porque en mi percepcion si se hubiera tenido esa clase de informacion en el 2017 varias empresas hubieran podido mitigar los efectos del wannacry ya que en su mayoria ataco sistemas desactualizados

El punto a.7.2.2 es algo que he visto que muy rara vez cumplen en las organizaciones donde he trabajado y las capacitaciones no es que sean muy dicientes que digamos, creo que si las hicieran como lo hace el profe Alex colocándonos en situaciones donde nos puedan afectar a nosotros como individuos particulares y no como trabajadores la concienciacion seria mas efectiva

POLITICA DE SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOS.
Objetivos de control y controles de referencia.
• A5. Políticas de seguridad de la información: (Sale de la alta dirección donde se sientan las bases del sistema de gestión, revisarla a lo máximo de 6 a 1 año)
A.5.1 Directrices de gestión de la seguridad de la información.
A.5.1.1 Políticas para la seguridad de la información.
A.5.1.2 Revisión de las políticas para la seguridad de la información.
• A6. Organización de la seguridad de la información:
A.6.1.1 Roles y responsabilidad en seguridad de la información
A.6.1.2 Segregación de tareas
A.6.1.3 Contacto con las autoridades
A.6.1.4 Contacto con grupos de interés especial.
A.6.1.5 Seguridad de la información en la gestión de proyectos.
• A.6 Seguridad relativa a o los recursos humanos:
A.6.2 Los dispositivos móviles y el teletrabajo.
A.6.2.1 Contacto con las autoridades
A.6.2.2 Teletrabajo
• A.7 Seguridad relativa a los recursos humanos:
A.7.1 Antes del empleo:
A.7.1.1 Investigación de antecedentes.
A.7.1.2 Términos y condiciones del empleo.
A.7.2.1 Durante el empleo.
A.7.2.1 Responsabilidad de la gestión.
A.7.2.3 Proceso disciplinario
A.7.3 Finalización del empleo o cambio en el puesto de trabajo.
A.7.3.1 Responsabilidades ante la finalización o cambio.
• A.8 Gestión de activos:
A.8.1 Responsabilidad sobre los activos.
A.8.1.1 Inventario de activos.
A.8.12 Propiedad de los activos.
A.8.1.3 Uso aceptable de los activos.
A.8.1.4 Devolución de activos.
A.8.2 Clasificación de la información.
A.8.2.1 Clasificación de la información
A.8.2.2 Etiquetado de la información
A.8.2.3 Manipulación de la información.
A.8.3 Manipulación de los soportes.
A.8.3.1 Gestión de soportes extraíbles.
A.8.3.2 Eliminación de soportes.
A.8.3.3 Soportes físicos en tránsito.

Claro, considero que denegar demasiados accesos al usuario puede reducir la productividad, además crear un ambiente de confianza es vital para no invertir mucho costo

Creo que esta clase a sido una de las que mas me han llenado de informacion de la norma. Gracias

El numeral A.6.2.1 tiene un error en el nombre del control, el correcto es “Política para dispositivos móviles” en lugar de “Contacto con las autoridades