Gestión de Controles

Curso de Estrategia de Seguridad Informática para Empresas

Importancia de la seguridad de la información

¿Por qué crear un programa de seguridad de la información?

Objetivos del programa de seguridad de la información

Componentes clave de un programa de seguridad de la información

Políticas de seguridad

Respuesta a incidentes

Gestión de vulnerabilidades

Gestión de riesgos

¿Qué se entiende por Riesgo?

Gestión del Riesgo

Evaluación del Riesgo

Gestión de Controles

Continuidad del negocio

Definiciones y términos

Análisis de impacto de negocio

Software seguro

Desarrollo o adquisición de software seguro

Introducción a OWASP

OWASP Top 10

Modelo de Madurez para el Aseguramiento del Software

Diseño del equipo

Roles, equipos y modelos de seguridad

Pirámide de crecimiento o criterio de contratación

Caso de estudio Platzi

La experiencia de Platzi con ISO27001

You don't have access to this class

Keep learning! Join and start boosting your career

If you already have an account,

Resources

How to assess risk by reviewing controls?

To ensure security in an organization, it is vital to perform an adequate risk assessment that includes the review of controls. There are multiple references, standards and frameworks that guide us in this task. The ISO 27001 standard and the special document 800-53 of the National Institute of Standards and Technology of the United States stand out here.

What is the reference of ISO 27001 and 27002?

ISO 27001 is a certifiable standard that establishes requirements for establishing, implementing, maintaining and improving an information security management system. Within its family is ISO 27002, which contains the controls necessary to meet the requirements of ISO 27001. If a control cannot be met because it is outside the scope of the business, it can be adequately justified in the Statement of Applicability (SoA).

What is NIST 800-53 B and C?

NIST 800-53 provides detailed guidance on security and privacy controls that help mitigate risks to information systems. 800-53B also provides a baseline that varies depending on the impact assets have on systems. A practical example would be to implement inactivity logoff on systems with moderate to high impact, as indicated in this document.

What is the role of 800-53 A?

800-53A is focused on control assessment. It provides methods for assessing the effectiveness of controls through specific questions and actions. It assists in preparing for audits by indicating which personnel to interview, what to validate and which documents to review.

How is the Statement of Applicability used?

The Statement of Applicability (SoA) is a document that lists the controls applied, justifying their implementation or exclusion. In an Excel sheet, it could contain:

Control name: according to the standard used.
Implementation: applicable or not applicable.
Justification: reasons behind its implementation or exclusion.
Responsible: person in charge of the decision.

This document is essential for auditors, facilitating the understanding of why a control is applied or not, and the implications of such decisions. It also serves to report to superiors and justify budgets, avoiding unnecessary investments in controls.

How are assets, threats and risks related?

Assets: They are valuable and have sensitivity.
Threats: They target assets by degrading them and can occur with a certain frequency.
Probability and Impact: By putting together the frequency of the threat with the impact on the asset, the risk is determined.
Control and Mitigation: Risks are mitigated by implementing controls that reduce the impact and frequency of occurrence of threats.

How is residual risk managed?

When applying controls, risks do not disappear completely. The resulting impact, known as residual risk, must be accepted or addressed. Risk management occurs throughout the organization, spanning from strategy to operations. It is a crucial element in any security program, enabling organizations to effectively minimize threats and consciously accept the risks that remain.

Contributions 8

Questions 0

Sort by:

Want to see more contributions, questions and answers from the community?

Juan Carlos Gutiérrez Ayala

a year ago

ISO 27.001:2022 → NIST 800 - 53 → 53B (los controles tienen ciertas indicaciones o directrices, analizar las relaciones que tienen con otros). 53A es de assessment, evaluación. Qué se debe validar, a quién entrevistar. La evaluación de controles se facilita en el documento Declaración de Aplicabilidad (SoA): Selección de controles Justificación de la inclusión o exclusión - Quién es responsable de la decisión de aplicar o no. Estado de implementación - Qué se aplica y qué riesgos se detectaron. Referencias de la documentación -

Patricio Sánchez Fernández

a year ago

Independiente de qué estándar se pueda seleccionar, lo importante es adoptarlo en serio y aplicarlo. Este tipo de marcos están hechos para detectar el riesgo, administrarlo, combatirlo y obtener insights para generar mejoras en el proceso. Estando en el área de la tecnología, no hay que ser genio para entender que los ataques se volverán cada vez más sofisticados gracias al uso de la IA, ya no basta tener un comité de profesionales inteligentes que sean expertos en programación o ciberseguridad, es casi literalmente pasarse al lado oscuro y pensar como hacker, actuar como hacker, vivir como hacker, ayudado por el potencial de la IA.

Eloy Chávez Dev

a year ago

**La gestión de controles es un componente fundamental de la seguridad de la información.** Se trata de un proceso continuo que abarca la identificación, implementación, evaluación y mejora de los controles de seguridad necesarios para proteger los activos de información de una organización. **Objetivos de la gestión de controles:** * **Proteger la confidencialidad, integridad y disponibilidad de la información.** * **Reducir el riesgo de ataques cibernéticos y otras amenazas a la seguridad.** * **Cumplir con las regulaciones y estándares de seguridad.** * **Mejorar la confianza de los clientes, socios y empleados en la seguridad de la organización.** **Tipos de controles:** * **Controles preventivos:** Se implementan para evitar que ocurran incidentes de seguridad. * **Controles detectivos:** Se implementan para detectar incidentes de seguridad cuando ocurren. * **Controles correctivos:** Se implementan para corregir los daños causados por incidentes de seguridad. **Metodologías para la gestión de controles:** * **ISO/IEC 27001:** Es una norma internacional que proporciona un marco para la gestión de la seguridad de la información. * **NIST Cybersecurity Framework:** Es un marco desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos que proporciona una guía para la gestión de la seguridad de la información.

Angie liliana Ocampo Sánchez

a year ago

*Estuve muy confundida con NIST e ISO 27001, así que les compartiré lo que encontré:* Aunque podrían considerarse instrumentos similares, **ISO 27001 y NIST** son diferentes. **ISO 27001** es una norma internacional para mejorar el ISMS (Sistema de gestión de la seguridad de la información) de una organización. Mientras **que** los controles **NIST** ayudan a gestionar y reducir los riesgos de ciberseguridad para las redes y los datos.

Walter Jesus Santiago Gonzalez

6 months ago

**Gestión de controles:** Como parte de la evaluación del riesgo, existe esta actividad alrededor de la revisión de los controles. Existen múltiples referencias, estándares, mejores prácticas, marcos de trabajo. La referencia de la **ISO 27001** es la norma certificable, tiene dentro de su familia la ISO 27002. La ISO 27002 contiene entonces los requerimientos mínimos que exige la norma ISO 27001. **NIST 800-53B:** En el estándar 800-53 del NIST se detallan los controles de privacidad y seguridad específicos que deben satisfacer tanto el Gobierno federal como las infraestructuras más importantes de Estados Unidos. Los controles tienen ciertas indicaciones o directrices que se deben seguir. Cuando cumplo, de acuerdo con el nivel de impacto de mi activo con el establecimiento de estos controles, es importante **evaluar su efectividad, revisar si ese control realmente esta haciendo lo que se supone que debe hacer**, ¿Cómo hago esto? Para esto existe el documento 800-53A, la A de Assessment, de evaluación. Te puede indicar las preguntas, que personal debes entrevistar, que debes validar, cuales documentos, por ejemplo, incluso el diseño del software si es el caso que aplica y muchos otros. La evaluación de estos documentos se facilita con un documento llamado la **Declaración de aplicabilidad (SoA)**, que es como un inventario de controles, este documento debe tener el nombre del control, de acuerdo con la norma o la referencia que es empleando, justificar por qué lo estas empleando y por qué no, colocar el responsable de esta decisión. Como resumen de este punto, puedes realizar selección de controles, justificación de la inclusión o exclusión, colocar el estado de implementación y referencias a la documentación. Incluso este documento nos puede servir para reportar a tus superiores la justificación en el uso del prepuesto para aplicar o priorizar un control. Exitos!

Diego Fernando Ramos Aguirre

2 months ago

![](https://static.platzi.com/media/user_upload/image-c3cc6dc8-a0b5-4221-a3a9-9b639c057132.jpg)

MARIA TERESA PANIAGUA RIVERA

6 months ago

gracias

10 months ago

![](https://static.platzi.com/media/user_upload/image-a70bc1cc-6b5f-4bfb-a0d1-310fb45ccd8a.jpg)