Introducción a la norma ISO 27001

1

Qué aprenderás sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la información

4

El Sistema de Gestión de Seguridad de la Información

Contenido de la norma

5

Términos y definiciones

6

¿En qué consiste la ISO27001?

7

Liderazgo y planificación

8

Soporte, operación, evaluación y mejora

9

Introducción al anexo A

10

Últimos elementos del anexo A

Gestión de Riesgos

11

Clasificación de los activos de información

12

Inventario de activos de información

13

Laboratorio: construyendo una matriz de activos de información

14

Finalizar la revisión de la matriz de activos de información

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisión de los controles y mapa de calor de la matriz de riesgos

20

Las tres líneas de defensa

21

ISO 27001: declaración de aplicabilidad

Controles de seguridad: Políticas y controles de acceso

22

Política de seguridad de la información y gestión de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad física y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de información

27

Requisitos de seguridad en sistemas de información

28

Laboratorio: aplicar una lista de verificación

29

Relación con proveedores

30

Cumplimiento

Auditoría

31

¿Qué es auditoría?

32

Términos de la auditoría

33

Fases de una auditoría

34

Resultados de la auditoría

35

Laboratorio: realizar el reporte de algunas no conformidades

Gestión de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificación para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Política de seguridad de la información y gestión de activos

22/39
Recursos

Aportes 13

Preguntas 5

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

A5 Políticas de seguridad de la información
A5.1 Directrices de gestión de la seguridad de la información
A5.1.1 Políticas para la seguridad de la información
A5.1.2 Revisión de las políticas para la seguridad de la información

A6 Organización de la seguridad de la información
A6.1 Organización interna
A6.1.1 Roles y responsabilidades en seguridad de la información
A6.1.2 Segregación de tareas
A6.1.3 Contacto con las autoridades
A6.1.4 Contacto con grupos de interés especial
A6.1.5 Seguridad de la información en la gestión de proyectos
A6.2 Los dispositivos móviles y el teletrabajo
A6.2.1 Política de dispositivos móviles
A6.2.2 Teletrabajo

A7 Seguridad relativa a los recursos humanos
A7.1 Antes del empleo
A7.1.1 Investigación de antecedentes
A7.1.2 Términos y condiciones del empleo
A7.2 Durante el empleo
A7.2.1 Responsabilidades de gestión
A7.2.2 Concienciación, educación y capacitación en seguridad de la información
A7.2.3 Proceso disciplinario
A7.3 Finalización del empleo o cambio en el puesto de trabajo
A7.3.1 Responsabilidades ante la finalización o cambio

A8 Gestión de activos
A8.1 Responsabilidad sobre los activos
A8.1.1 Inventario de activos
A8.1.2 Propiedad de los activos
A8.1.3 Uso aceptable de los activos
A8.1.4 Devolución de activos
A8.2 Clasificación de la información
A8.2.1 Clasificación de la información
A8.2.2 Etiquetado de la información
A8.2.3 Manipulado de la información
A8.3 Manipulación de los soportes
A8.3.1 Gestión de soportes extraíbles
A8.3.2 Eliminación de soportes
A8.3.3 Soportes físicos en tránsito

![](

Me alegran que se haya incluido una sesión para hablar de cada control del anexo A

Objetivos de control y controles de referencia:

A.5. Políticas de seguridad de la información:

A.5.1 Directrices de gestión de la seguridad de la información
	A.5.1.1 Políticas de la seguridad de la información
	A.5.1.2 Revisión de las políticas para la seguridad de la información

A.6. Organización de la seguridad de la información:
A.6.1Organización interna

	A.6.1.1 Roles y responsabilidad en seguridad de la información (Identificar quién será el responsable de gestionar los riesgos, el responsable de implementar el sistema de seguridad de la información, quién será el responsable de implementar los controles que se definan)

	A.6.1.2 Segregación de tareas (Auditoria interna, hace revisión independiente, Segunda Línea define los controles y primera línea ejecuta o los implementa)

	A.6.1.3 Contacto con las autoridades (Comunicación continua con los entes de regulación porque hay directrices como con la Superintendencia financiera que define una normatividad …analizar que normatividad aplica para el objetivo de negocio)

	A.6.1.4 Contacto con grupos de interés especial (Inversionistas a quienes se les entrega reportes de cómo va nuestro sistema de seguridad de la información)

	A.6.1.5 Seguridad de la información en la gestión de proyectos (Importante que el área de seguridad siempre se involucre en todo el proyecto de una compañía, proyectos que tiene que ver con cambios tecnológicos desde el inicio del proyecto y no al final)

A.6.2 Los dispositivos móviles y el teletrabajo

A.6.2.1 Contacto con las autoridades (Aplica a normatividad asociada)

A.6.2.2 Teletrabajo (Estrategias para que se garantice la continuidad el proceso y la efectividad del sistema de seguridad de información desde el la casa del empleado o funcionario )

A.7. Seguridad relativa a los recursos humanos:

A.7.1 Antes del empleo
	
	A.7.1.1 Investigación de antecedentes 
	A.7.1.2 Términos y condiciones del empleo (Contrato de trabajo legal para los empleados, que no haya subcontratación)

A.7.2 Durante el empleo

	A.7.2.1 Responsabilidades de gestión (Funcionario tenga clara sus responsabilidades dentro de la compañía, para que fue contratado, qué actividades va a desempeñar, que se espera de él sobre el sistema de información)

	A.7.2.2 Concienciación, educación y capacitación en seguridad de la información (Importante para omnix creo que no se ha tenido en cuenta, importante que cada año sea realizada esta capacitación)

	A.7.2.3 Proceso disciplinario (Que le quede claro al funcionario lo que puede pasar si utiliza la información de la empresa o equipos para actividades que no están permitidas)


A.7.3 Finalización del empleo o cambio en el puesto de trabajo

	A.7.3.1 Responsabilidades ante la finalización o cambio (cuando se cambia de rol, por ejemplo ascenso o despido)

A.8. Gestión de activos:

A.8.1 Responsabilidad sobre los activos
	
	A.8.1.1 Inventario de activos
	A.8.1.2 Propiedad de los activos (Dueño del proceso que realiza la actividad dia a dia)

	A.8.1.3 Uso aceptable de los activos

	A.8.1.4 Devolución de activos

A.8.2 Clasificación de la información

	A.8.2.1 Clasificación de la información (clasificación según confidencialidad, integridad y disponibilidad)

	A.8.2.2 Etiquetado de la información (Rotular la información física o digital)

	A.8.2.3 Manipulado de la información

A.8.3 Manipulación de los soportes

	A.8.3.1 Gestión de soportes extraíbles

	A.8.3.2 Eliminación de soportes

	A.8.3.3 Soportes físicos en tránsito 

El numeral A.6.2.1 tiene un error en el nombre del control, el correcto es “Política para dispositivos móviles” en lugar de “Contacto con las autoridades

POLITICA DE SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE ACTIVOS.
Objetivos de control y controles de referencia.
• A5. Políticas de seguridad de la información: (Sale de la alta dirección donde se sientan las bases del sistema de gestión, revisarla a lo máximo de 6 a 1 año)
A.5.1 Directrices de gestión de la seguridad de la información.
A.5.1.1 Políticas para la seguridad de la información.
A.5.1.2 Revisión de las políticas para la seguridad de la información.
• A6. Organización de la seguridad de la información:
A.6.1.1 Roles y responsabilidad en seguridad de la información
A.6.1.2 Segregación de tareas
A.6.1.3 Contacto con las autoridades
A.6.1.4 Contacto con grupos de interés especial.
A.6.1.5 Seguridad de la información en la gestión de proyectos.
• A.6 Seguridad relativa a o los recursos humanos:
A.6.2 Los dispositivos móviles y el teletrabajo.
A.6.2.1 Contacto con las autoridades
A.6.2.2 Teletrabajo
• A.7 Seguridad relativa a los recursos humanos:
A.7.1 Antes del empleo:
A.7.1.1 Investigación de antecedentes.
A.7.1.2 Términos y condiciones del empleo.
A.7.2.1 Durante el empleo.
A.7.2.1 Responsabilidad de la gestión.
A.7.2.3 Proceso disciplinario
A.7.3 Finalización del empleo o cambio en el puesto de trabajo.
A.7.3.1 Responsabilidades ante la finalización o cambio.
• A.8 Gestión de activos:
A.8.1 Responsabilidad sobre los activos.
A.8.1.1 Inventario de activos.
A.8.12 Propiedad de los activos.
A.8.1.3 Uso aceptable de los activos.
A.8.1.4 Devolución de activos.
A.8.2 Clasificación de la información.
A.8.2.1 Clasificación de la información
A.8.2.2 Etiquetado de la información
A.8.2.3 Manipulación de la información.
A.8.3 Manipulación de los soportes.
A.8.3.1 Gestión de soportes extraíbles.
A.8.3.2 Eliminación de soportes.
A.8.3.3 Soportes físicos en tránsito.

Respecto al punto A.8.1.1 me surge una inquietud dentro de inventario de activos deberian entrar tambien los puertos abiertos y los servicios que hay expuestos a traves de esos puertos. Lo digo porque en mi percepcion si se hubiera tenido esa clase de informacion en el 2017 varias empresas hubieran podido mitigar los efectos del wannacry ya que en su mayoria ataco sistemas desactualizados

El punto a.7.2.2 es algo que he visto que muy rara vez cumplen en las organizaciones donde he trabajado y las capacitaciones no es que sean muy dicientes que digamos, creo que si las hicieran como lo hace el profe Alex colocándonos en situaciones donde nos puedan afectar a nosotros como individuos particulares y no como trabajadores la concienciacion seria mas efectiva

Claro, considero que denegar demasiados accesos al usuario puede reducir la productividad, además crear un ambiente de confianza es vital para no invertir mucho costo

Creo que esta clase a sido una de las que mas me han llenado de informacion de la norma. Gracias

Quien debería verificar el cumplimiento de las Políticas de SI
Alex seria bueno que actualizaras este punto con la version mas actual del anexo A para poderte seguir e ir a la vanguardia de la norma.

suponiendo que entras a una empresa y te dan una pc nueva te avisan si te monitorean mediante algún software? se contempla en estas normas ?