Sistema de Gestión de Seguridad según la Norma ISO 27001

Clase 4 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Resumen

¿Qué es un sistema de gestión de seguridad según ISO 27001?

La gestión de la seguridad es un pilar esencial en la norma ISO 27001. Requiere un conjunto coordinado de políticas, procedimientos, guías, recursos y actividades asociadas. Cada pieza de este conjunto debe estar interrelacionada para implementar estrategias efectivas de seguridad de la información.

Los objetivos son claros:

Establecer y definir políticas básicas.
Implementar y aplicar en la práctica.
Operar y gestionar de manera continua.
Monitorizar el flujo de trabajo.
Revisar y ajustar según los indicadores.
Mantener un proceso continuo de gestión.
Mejorar bajo un enfoque de mejora continua.

Para lograr estos objetivos, las estrategias deben complementarse y alinearse para garantizar la seguridad de la información.

¿Cuáles son los factores críticos de éxito?

Garantizar la eficacia de un sistema de gestión de seguridad de la información implica tener en cuenta factores clave, como:

Alineación con la política organizacional: Las estrategias de seguridad deben coincidir con los objetivos empresariales, permitiendo el crecimiento sin entorpecer los procesos.
Apoyo de la alta dirección: La dirección debe demostrar un compromiso visible y tangible, proporcionando recursos y siendo parte activa del proyecto.
Programas de concienciación y capacitación: La educación continua a los empleados sobre la seguridad fortalece la postura global de la empresa.
Gestión eficaz de incidentes de seguridad: Una respuesta ágil a los incidentes minimiza el impacto en la organización.
Gestión de continuidad de negocio: Resiliencia ante interrupciones mediante planes de contingencia bien definidos.
Mejora continua: Revisión y adaptación constantes son esenciales para mantener la relevancia y efectividad del sistema.

¿Qué beneficios ofrece la implementación de un sistema de gestión de seguridad?

Implementar un sistema de gestión de seguridad bajo la norma ISO 27001 ofrece múltiples beneficios que fortalecen la posición de una empresa:

Aumenta la confianza de las partes interesadas: Inversionistas y socios verán con buenos ojos a una empresa que cumple con normas internacionales, lo que aumenta la posibilidad de financiamiento y asociación.
Facilita la toma de decisiones: Proporcionar información confiable y precisa asegura que las decisiones empresariales sean las más acertadas.
Utiliza las mejores prácticas internacionales: En vez de inventar procesos, se adopta un marco que ha demostrado eficacia globalmente. Esto proporciona una garantía de calidad y estandarización reconocida a nivel mundial.

El sistema, no obstante, no es prescriptivo. Permite la flexibilidad de elegir los elementos que mejor se adapten al tamaño y necesidades específicas de cada organización, asegurando así eficacia y alineación con estándares internacionales en cualquier parte del mundo.

Raúl Sánchez Rentería

student•

M2 - Sistema de gestión de seguridad

Es un conjunto de políticas procedimientos guías recursos y actividades asociadas que son gestionadas de manera colectiva por una compañía

Tareas de SGSI

Establecer
- Definir políticas y normas
Implementar
- Empezar a gestionar todo y comprar recursos tecnológicos
Operar
- Mantener dentro del proceso y garantizando que se cumplan las directrices
Monitorizar
- Verificar continuamente
Revisar
- Mirar indicadores en caso de no cumplir ajustar políticas
Mantener
- Esto es un proceso continuo que debe ajustarse en el día a día de la empresa
Mejorar
- Actualizar frecuentemente

Factores críticos

Que la política,los objetivos y actividades de seguridad de la información estén alineados con los objetivos de la organización.
Apoyo visible de todos los niveles de organización, en especial de dirección.
Programa efectivo de concienciación, formación y educación sobre seguridad de la información.
Un proceso eficaz de gestión de incidentes SI.
Un enfoque efectivo de GCN (gestión de continuidad de negocio).
Un sistema de medición utilizado para evaluar el desempeño en gestión de la SI y para proporcionar la mejora continua.

Beneficios SGSI

Aumentar la confianza en la organización por las partes interesadas
Una gestión desde un punto de vista económico de las invenciones en SI
Ayuda para la alta dirección en la alineación de si enfoque hacia la gestión de la SI,con el contexto de la gestión y gobierno del riesgo corporativo.

Carlos Andrés Ruiz Barrera

student•

Buen aporte

Diego Matias Gentini

student•

excelente aporte. se nota claramente el dominio de la materia. gracias.

David Enrique Molina Rodríguez

student•

-------------------------------Sistema de gestión de seguridad (SGSI)---------------------------------------- Es un conjunto de políticas, procedimientos, guías, recursos y actividades asociadas, que son gestionadas de manera colectiva por una compañía. El SGSI debe:

Establecer normas
implementar y gestionar es decir pasar de la teoría a la práctica
operar, mantener y gestionar todo dentro del proceso, y que se cumplan con las directrices definidas
monitorizar, es estar en gestión de verificación de que todo fluya.
revisar, es rectificar indicadores.
mantener, nos dice que es es un proceso continuo.
mejorar, actualizarse y estar al tanto de siempre ser más optimo.

Juan Pablo Perez

student•

Gracias por el aporte.

Sofia Cristina Leyva Ortecho

student•

LO MAS IMPORTANTE A RESALTAR ES QUE LA NORMA ISO 27001 NO ES PRECEPTIVA, ESTO QUIERE DECIR QUE NO DEBES SEGUIRLA AL PIE DE LA LETRA, TÚ DE ACUERDO AL TAMAÑO DE TU ORGANIZACIÓN ANALIZAS QUE PARTES APLICAR

Sarha Sophia Sandoval Sandoval

student•

Jose Luis Quintero Sanchez

student•

La Confianza en la organización es ++Extremadamente Importante++. Con la Confianza se cierran tratos, negocios, se hacen ventas. Una certificación de SGSI es muy usada para entrar en procesos de licitación, para participar en concursos para ganar proyectos. Es muy común ahora que una empresa que no tenga certificacion ISO27K no cumpla con requisitos mínimos para poder ofertar en proyectos públicos.

Zoraida Puerto Vásquez

student•

Se logra implementar moldeos de seguridad de la información como ISo 27001 + COBIT 5+ Itil, Con Compromiso de la alta dirección y una cultura organización dispuesta al cambio, Se encuentra obstáculos cuando los lideres de áreas estrategias se oponen a aplicar los controles de las normas. En esta implementación es cuando se descubre que los riesgos de la organización no siempre son externos, los mas altos están dentro de las organizaciones cuando tienen demasiado poder o autoridad..

Implementar un modelo es fácil, lo difícil es mantenerlo y lograr una cultura de seguridad ante los nuevos cambios de cultura dentro de la misma organización.

Jairo Ramirez Castaño

student•

Como auditor, puedo imponer al cliente que procesos de gestión de incidentes deben tener o que herramientas deben usar?

Alex Tovar

teacher•

Hola @JairoRa que bueno que estés tomando el curso. La norma exige el cumplimiento de unos elementos, pero el cómo los debe cumplir la empresa queda a su "libre elección". Ahora, como auditor tu nunca puedes Obligar a una empresa a implementar o no un proceso, sin embargo, lo que si debes hacer es Recomendar basado en tu experiencia.

Kyb3r Cipher

student•

Buen aporte profe Alex 😀

Luis Fernando Bedón

student•

Garantizar que la norma se alinea a los objetivos del negocio y que no entorpezca los procesos del negocio

Cesar Ortiz

student•

¿Cuánto esfuerzo cuesta implementar ISO 27001?

Alex Tovar

teacher•

Hola @cesaralbertoortiz que bueno que estés tomando el curso. El esfuerzo de implementar la Norma ISO 27001 en una organización depende en gran parte del tamaño de la misma. Sin embargo, si te puedo asegurar que es un trabajo fuerte y desafiante... pero vale la pena!

Manuel Flores Gomez

student•

Buena tarde Estimado, me agrada tu curso es muy digerible, me llamo mucho la atencion sobre el punto que indicas de obtener el apoyo de la alta direccion, ¿Como se puede obtener ese apoyo? siendo que la empresa y los socios prefieren ahorrar en vez de implementar un SGSI.

Alex Tovar

teacher•

Hola estimado @manuel-flores-gomez que bueno tenerte en el curso. Efectivamente la mejor manera de lograr al apoyo de la alta dirección es hacerles ver las posibles consecuencias que se tendrían ante la materialización de un riesgo que comprometa la seguridad de la información. Es importante que siempre les hables en términos de negocio sin demasiados tecnicismos. Ej: Una compañía de modas prepara el lanzamiento de su nueva colección de ropa en la que ha estado trabajando los últimos 3 meses pero 2 semanas antes del lanzamiento sufren una fuga de información y todos sus competidores se enteran de sus nuevas prendas y precios... esto sin lugar a dudas los hace perder ventaja en el mercado.

Edwin Fabricio Guajala Cajiao

student•

Según yo, la clave esta en mantener el equilibrio entre el objetivo de la empresa, el riesgo de afectación a la triada de la seguridad sobre la información para cumplir ese objetivo, y el SGSI para minimizar dicho riesgo.

Esolutions SA

student•

Buenas! Dos consultas: a) que hay concreto, con ejemplos ? cuando se habla de Objetivos de Seguridad? (que no sea sólo contabilizar los incidentes de seguridad?) b) Ejemplos de "Un sistema de medición utilizado para evaluar el desempeño en la gestión de la SI y para proporcionar la mejora continua.". Cómo se traduce ese sistema de medición?

Luisbert Emmanuel Aquino Garcia

student•

Sistemas de Gestión de la información

El fin de la norma ISO-27001 es establecer un sistema de gestión de la seguridad (SGSI).

Un SGSI Es un conjunto de políticas procedimientos guías recursos y actividades asociadas que son gestionadas de manera colectiva por una compañía. ' '

Tareas de un SGSI:

Establecer: Definir políticas y normas de seguridad de la información.
Implementar: Empezar a implementar las normas y políticas previamente definidas, además de comprar los recursos tecnológicos necesarios.
Operar: Gestionar y mantener toda la implementación dentro del proceso y garantizar que se cumplan las directrices.
Monitorizar: Verificar continuamente.
Revisar: Mirar indicadores en caso de no cumplir ajustar políticas.
Mantener: Esto es un proceso continuo que debe ajustarse en el día a día de la empresa.
Mejorar: Actualizar frecuentemente. '

Un SGSI no es un proyecto por lo que no debe verse como si tuviera un principio y un final. Un SGSI es un proceso continuo que se mejora a sí mismo. ' Factores críticos de éxito:

Definir una política de acuerdo o alineada a los objetivos de la organización. (Ningún política debe entorpecer los procesos de negocios de la organización.)
Apoyo de la alta dirección. Toda la organización debe notar que la alta dirección apoya la implementación del SGSI.
Capacitación continua del personal de la organización en seguridad de la información, para generar conciencia.
Hacer un proceso eficaz en la gestión de incidentes de seguridad de la información y en el proceso de Gestión de continuidad de negocios (GCN).
- Un incidente de seguridad es cualquier cosa que pueda interrumpir la triada de la información.
La mejora continua. Ajustar, mejorar y actualizar el SGSI a través del tiempo.. '

Beneficios de un SGSI:

Aumentar la confianza de los stakeholders de la organización.
Ayuda a la alta dirección a tomar decisiones de negocios con mucha más certeza.
Aplica las mejores prácticas de una norma recocida internacionalmente efectiva.
Es no preceptivo. Lo que permite adaptar los lineamientos de la norma de acuerdo al tamaño de la organización.

Eder Ruiz

student•

Sistema de gestión de Seguridad Conjunto de políticas, procedimientos, guías, recursos y actividades asociadas, que son gestionados de manera colectiva por una compañía. El SGSI debe: • Establecer • Implementar • Operar • Monitorizar • Revisar • Mantener • Mejorar Factores críticos de éxito Que la política, los objetivos y actividades de seguridad de la información estén alineadas con los objetivos de la organización. El apoyo visible y el compromiso de todos los niveles de la organización, en especial de Alta Dirección. Un programa efectivo de concienciación, formación y educación sobre la seguridad de la información. Un proceso eficaz de gestión de incidentes de SI. Un enfoque efectivo de GCN. Un sistema de medición utilizado para evaluar el desempeño en la gestión de la SI y para proporcionar la mejora continua. Beneficios de SGSI. Aumentar la confianza en la organización por las partes interesadas. Una eficaz gestión desde un punto de vista económico de las inversiones en SI. Una ayuda para la Alta Dirección en la alineación de su enfoque hacia la gestión y gobierno del riesgo corporativo. Las mejores prácticas para su empresa.

David Enrique Molina Rodríguez

student•

Factores críticos de éxito: -La política, los objetivos y actividades de seguridad de la información estén alineadas con los objetivos de la organización. -El apoyo visible y el compromiso de todos los niveles de la organización, en especial de alta dirección. -Un programa Efectivo de concientizar, formar y educar sobre seguridad de la información. -Un proceso eficaz de gestión de incidentes de seguridad (No interrumpir la triada de la seguridad) -Un enfoque efectivo de gestión continua de negocio (GCN). -Se debe proporcionar una gestión continua. Beneficios: -Aumentar la confianza en la organización por las partes interesadas -Una eficaz gestión desde un punto de vista económico de las inversiones en seguridad. -Ayudar a la alta dirección a tomar decisiones. -La adopción de buenas prácticas de la SI (seguridad de la información) aceptadas a nivel mundial de una manera no perceptiva.

Daniel Nicolás Montenegro zambrano

student•

se va a actualizar este curso ya que el profesor bien menciona que cada 2 años hay actualizaciones y mejoras?

JOSE ANTONIO CERVANTES VILLARREAL

student•

Hola, perdonen la indiorancia jejeje la persona que se dedica a ser Auditor interno es más rango que una persona de Ciberseguridad?

Geovanni Javier Nuñez Barrueta

student•

Es lo mismo, no es que como que sea mejor uno u otro. la diferencia rádica en como hace el trabajo, un persona de ciberseguridad como le llaman puede estar trabajando para una empresa y estgar cuidando todos los aspectos y cada cierto tiempo se debe auditar la empresa para saber que se sigue cumpliendo los estandares, aquí entra el de ciberseguridad como auditor interno, hace todas las pruebas necesarias, etc.

Gabriel Díaz H

student•

El punto principal para implementar este sistema es convencer a las directivas que no conocen de TI

Geovanni Javier Nuñez Barrueta

student•

Si ese es el punto clave, porque por ejemplo de ahí parte todo. En todas las organizaciones todo proceso, recurso humano y monetario se debe invertir con un solo proposito que genera un retorno de inversión. Al proponer seguridad de la tecnología de la información no es que la alta gerencia no sepa al respecto pero tu como agente de seguridad de la tecnología de la información debes "venderles " el porque deben invertir en seguridad de la tecnología. Aparte que una vez aprobado las demas áreas como se menciono aquí tendran que apoyarte, en mi caso cuando estuve dando apoyo a una área de sistemas y tenía actividades como actualización, respaldo de información las demas áreas no me querían dejar hacer la chamba, decían cosas como "vas a tardar? es que estoy haciendo algo" "No lo puedes hacer más tarde o mañana" así de esta manera ya tienes autorización de la alta genrencia; Pero recordar que esta norma lo que busca exactamente es alinear la SGI con los procesos de la emrpresa son entorpecerlos.

Walter Omar Barrios Vazquez

student•

Factores críticos de éxito

Que la política, los objetivos y actividades de SI estén alineadas con los objetivos de la organización.
El apoyo visible y el compromiso de todos los niveles de la organización, en especial de Alta Dirección.
Un programa efectivo de concienciación, formación y educación sobre SI.
Un proceso eficaz de gestión de incidentes de SI. Un enfoque efectivo de GCN.
Un sistema de medición utilizado para evaluar el desempeño en la gestión de la SI y para proporcionar la mejora continua.

Beneficios de un SGSI

Aumentar la confianza en la organización por las partes interesadas.
Una eficaz gestión desde un punto de vista económico de las inversiones en SI.
Una ayuda para la Alta Dirección en la alineación de su enfoque hacia la gestión de la SI, con el contexto de la gestión y gobierno del riesgo corporativo.
La adopción de buenas prácticas de SI aceptadas a nivel mundial, de una manera no preceptiva.
- NIST.
- ITIL.
- OWASP.
- COBIT.
- ISO 27001.
- CIS.

Victor Alfonso España Rodas

student•

Empezando el curso la idea apostarle a la certificacion antes de terminar el año

Luis Fernando Ramírez Contreras

student•

Excelente Curso, estaría perfecto que lo actualizaran a la nueva versión.

Sistema de Gestión de Seguridad según la Norma ISO 27001

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información

Clasificación de Activos de Información en Excel

Creación de Plantilla de Gestión de Activos de Información en Excel

Clasificación de Activos de Información en Excel

Gestión de Niveles y Tratamientos de Riesgo según ISO 27001

Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo

Controles para Mitigar Riesgos según ISO 27001

Construcción de Matriz de Riesgos para Gestión Empresarial

Gestión de Controles en Matrices de Riesgos en Excel

Modelo de Tres Líneas de Defensa en Seguridad de la Información

Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido

Controles de seguridad: Políticas y controles de acceso

Controles de Seguridad en la Gestión de la Información ISO 27001

Controles de Acceso y Criptografía en ISO 27001

Controles de seguridad: Operaciones y Comunicaciones

Controles de Seguridad Física y del Entorno en ISO 27001

Seguridad de las Operaciones según ISO 27001

Seguridad de las Comunicaciones en Redes Empresariales

Controles de seguridad: Sistemas de información

Controles de Seguridad en el Desarrollo de Software bajo ISO 27001

Seguridad en el Desarrollo de Software según OWASP Top 10

Gestión de Proveedores e Incidentes de Seguridad en ISO 27001

Controles de Continuidad y Cumplimiento en Seguridad de la Información

Auditoría

Auditoría de Sistemas de Seguridad según ISO 27001

Terminología de Auditoría según ISO 27001

Fases de una Auditoría: Paso a Paso para su Ejecución

Auditoría ISO 27001: Identificación y Reporte de No Conformidades

Reporte de No Conformidades en Auditoría ISO 27001

Gestión de la Continuidad del Negocio

Gestión de Continuidad del Negocio y Normas ISO 22301 y 27001

Construcción de un Plan de Continuidad de Negocio

Cierre del curso

Examen Simulacro de ISO 27001: Seguridad de la Información

Certificación y Feedback en ISO 27001: Próximos Pasos