Implementación de ISO 27001: Contexto, Liderazgo y Planificación
Clase 7 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)
Contenido del curso
Contenido de la norma
- 5
Terminología clave de la norma ISO 27001
09:00 min - 6
Norma ISO 27001: Gestión de Seguridad de la Información
06:39 min - 7
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
Viendo ahora - 8
Implementación de la Norma ISO 27001: Recursos y Competencias
10:15 min - 9
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
08:48 min - 10
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
07:54 min
Gestión de Riesgos
- 11
Gestión de Riesgos y Clasificación de Activos de Información
09:56 min - 12
Clasificación de Activos de Información en Excel
11:46 min - 13
Creación de Plantilla de Gestión de Activos de Información en Excel
11:40 min - 14
Clasificación de Activos de Información en Excel
06:30 min - 15
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
12:58 min - 16
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
08:01 min - 17
Controles para Mitigar Riesgos según ISO 27001
07:28 min - 18
Construcción de Matriz de Riesgos para Gestión Empresarial
12:12 min - 19
Gestión de Controles en Matrices de Riesgos en Excel
08:54 min - 20
Modelo de Tres Líneas de Defensa en Seguridad de la Información
06:38 min - 21
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
01:40 min
Controles de seguridad: Políticas y controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Controles de seguridad: Sistemas de información
Auditoría
- 31
Auditoría de Sistemas de Seguridad según ISO 27001
09:16 min - 32
Terminología de Auditoría según ISO 27001
08:33 min - 33
Fases de una Auditoría: Paso a Paso para su Ejecución
14:15 min - 34
Auditoría ISO 27001: Identificación y Reporte de No Conformidades
09:47 min - 35
Reporte de No Conformidades en Auditoría ISO 27001
10:42 min
Gestión de la Continuidad del Negocio
Cierre del curso
Resumen
¿Cuál es el contexto de la organización según la ISO 27001?
Entender el contexto de una organización es fundamental al implementar un sistema de gestión de seguridad de la información (SGSI) basado en la norma ISO 27001. Esta comprensión implica saber dónde se ubica uno dentro de la compañía y cuáles son las necesidades específicas de las partes interesadas, internas y externas. Este conocimiento es vital para alinear el SGSI con los objetivos organizacionales.
Comprensión de la organización y su contexto
La norma exige conocer el negocio: sus metas, operaciones, y cómo se puede apoyar mediante un SGSI. Es crucial lograr que el sistema no solo se alinee con los objetivos empresariales, sino que también los impulse.
Necesidades de las partes interesadas
No basta con entender solo a la organización; también se deben considerar las expectativas de todas las partes interesadas, quienes hacen significativas inversiones en recursos y tecnología. Conocer y satisfacer sus expectativas es esencial para justificar estas inversiones y asegurar el éxito del SGSI.
Determinación del alcance del SGSI
Definir claramente el alcance del sistema de gestión de seguridad es crucial. Puede ser útil establecer fases para abordar diversas áreas de forma paulatina, integrando cada una en un SGSI cohesivo.
¿Por qué es el liderazgo un elemento crítico en ISO 27001?
El liderazgo es vital para el éxito de la implementación del SGSI. Sin el apoyo visible y comprometido de la alta dirección, es improbable que se asignen suficientes recursos o que el personal valore la iniciativa correctamente.
Liderazgo y compromiso
La alta gerencia debe involucrarse activamente, asumiendo el liderazgo del proyecto. Es esencial que la política de seguridad emane de ellos, reflejando su compromiso y dándole autoridad.
Definición de roles y responsabilidades
Es crucial tener claridad sobre quién es responsable de la seguridad de la información dentro de la organización. Esta persona, comúnmente referida como el Oficial de Seguridad de la Información (OSI), debe contar con un equipo comprometido y los recursos necesarios para implementar con éxito el SGSI.
¿Cómo se planifica bajo ISO 27001?
La planificación es otro pilar fundamental de la norma ISO 27001. Sin una planificación robusta, es difícil garantizar la mejora continua y medir el éxito del SGSI.
Acciones para tratar riesgos y oportunidades
Identificar riesgos y oportunidades es esencial. Se deben implementar controles para prevenir la materialización de riesgos y, simultáneamente, mejorar procesos. Esto ayuda a minimizar no conformidades, que son incumplimientos de la norma.
Objetivos de seguridad y planificación
Establecer y planificar cómo alcanzar los objetivos de control es crucial. Por ejemplo, en el manejo de accesos de usuarios, se puede iniciar con un control manual, como una matriz en Excel, y progresar a soluciones automáticas conforme a los recursos disponibles.
La implementación de la norma ISO 27001 es un proceso secuencial y bien estructurado que va más allá de simples lineamientos; se trata de crear un entorno seguro que beneficie a la organización y cumpla con las expectativas de todos sus stakeholders.