
Introducción al curso observando el contexto y la necesidad de implementar un sistema de gestión de seguridad de la información, las competencias a obtener una vez finalizado el curso, explicación de lo que es la ISO y sobre la familia 27000 y algunos conceptos generales de seguridad de la información
En esta primera parte del curso veremos cuáles son los requerimientos para poder establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información
Objetivo: determinar cuales son los aspectos externos e internos, las partes interesadas y sus requisitos, y los limites y aplicabilidad del alcance considerando las interfaces y dependencias entre organizaciones, que son relevantes para el estableciendo, implementación, mantenimiento y mejora continua de un sistema de gestión de seguridad de la información
Objetivo: asegurar que la alta dirección participe y demuestre el liderazgo y el compromiso en la actividades del sistema de gestión de seguridad de la información, estableciendo una política de seguridad de la información, y estableciendo, asignando y comunicando los roles, responsabilidades y autoridades relevantes al sistema de gestión de seguridad de la información
Objetivo: considerar dentro de la planificación las actividades que logren alcanzar los objetivos del sistema de gestión de seguridad de la información, entre estas actividades se deben considerar las relacionadas a la evaluación de los riesgos, incluyendo el establecimiento de los criterios, identificando, analizando y evaluando los riesgos relacionados a la seguridad de la información, asegurando que los resultados sean consistentes, validos y comparables
Objetivo: planificar las actividades de tratamiento de los riesgos relacionados a la seguridad de la información, incluyendo la elección de las opciones de tratamiento, determinando los controles necesarios considerando los establecidos en el anexo A y que se establezca en una declaración de aplicabilidad, formulando los planes de los riesgos que ameriten tratamiento y obteniendo la aceptación por parte de los propietarios. Así mismo, se deben considerar en la planificación los objetivos de seguridad de la información que sean relevantes en su función y los niveles necesarios
Objetivo: asegurar que se provean todos los recursos, se obtenga las competencias y se realice en el entrenamiento que sean necesarios para que soporten las actividades del sistema de gestión de seguridad de la información
Objetivo: asegurar que se realice la correcta comunicación a las distintas partes interesadas sobre las actividades del sistema de gestión de seguridad de la información, así como, establecer un proceso para implementar un marco normativo procedimental de seguridad de la información que incluya la emisión, actualización y control de los documentos
Objetivo: asegurar la correcta ejecución y control de las actividades de seguridad de al información incluyendo las destinadas a alcanzar los objetivos del sistema de gestión de seguridad de la información, y las referidas a la evaluación y tratamiento de los riesgos de seguridad de la información
Objetivo: realizar actividades para monitorear, mediar, analizar y evaluar el cumplimiento y efectividad del sistema de gestión de seguridad de la información. Así mismo, establecer un proceso de auditoria continua y especializada sobre el sistema de gestión de seguridad de la información
Objetivo: establecer un proceso para que la alta dirección participe en la revisión y toma de acción sobre los resultados del sistema de gestión de seguridad de la información
Objetivo: implementar un proceso para tomar acción ante las no conformidades, acciones correctivos o en general sobre toda oportunidad de mejora continua del sistema de gestión de seguridad de la información
En esta segunda parte del curso veremos cuáles son los 114 controles descritos en el Anexo A que deben ser implementados en la medida que sea aplicable con la finalidad de la probabilidad e impacto de los riesgos de seguridad de la información
Objetivo: dirigir y apoyar al sistema de gestión de seguridad de la información para que este en concordancia con los requisitos del negocio, las leyes y las regulaciones que sean relevantes, para lo cual se debe realizar la emisión y revisión de las políticas y el grupo de documentos relacionados a la seguridad de la información
Objetivo: establecer un marco de gestión para la implementación, operación y control de la seguridad de la información dentro de la organización, para lo cual se debe realizar la definición de los roles y las responsabilidades, la segregación de las funciones y de las áreas de responsabilidad, el contacto permanentes con las autoridades y los grupos de interés especializados en seguridad de la información y en la inclusión de la seguridad de la información en la gestión de los proyectos de la organización
Objetivo: establecer los lineamientos para poder asegurar la confidencialidad, integridad y confidencialidad de la información, que se encuentren en dispositivos móviles tales como laptops, celulares o tabletas, o cuando se realice una conexión desde cualquier dispositivo fuera de la organización para realizar teletrabajo o trabajos remotos
Objetivo: asegurar que los empleados y contratistas entiendan sus responsabilidades y que sus roles estén alineados a sus responsabilidades para lo cual se debe establecer medidas de protección desde el proceso de selección del personal hasta la firma del contrato la cual considere todas las cláusulas de seguridad
Objetivo: asegurar que los empleados y contratistas sean conscientes y cumplan con sus responsabilidades de seguridad de la información para lo cual se debe contar con el liderazgo y compromiso de las gerencias, realizar tareas de concientización, educación y entrenamiento a los empleados y contratistas, y sancionar las violaciones e incidentes mediante un proceso disciplinario, asegurando el cumplimiento de las políticas y procedimientos de la organización
Objetivo: proteger los intereses de la organización como parte del proceso de cambio de funciones o ante la terminación del empleo
Objetivo: identificar los activos de la organización y definir las responsabilidades de su protección, para lo cual se debe realizar el inventariado de los activos de información, la definición y asignación de los propietarios de estos activos, la determinación de su uso aceptable y las actividades para su devolución a la organización
Objetivo: asegurar que la información recibe un nivel adecuado de protección de acuerdo a su importancia para la organización, para lo cual es necesario realizar la valorización en relación a su confidencialidad, integridad y disponibilidad, la implementación del proceso de etiquetado que permita su identificación y determinando cual es el manejo aceptable de los activos de acuerdo a los niveles de clasificación establecidos
Objetivo: prevenir la divulgación, modificación, remoción o destrucción no autorizada de información almacenada en cualquier de los medios, tanto en los medios que estén en tránsito, como durante la eliminación y destrucción, en los formatos físicos y electrónicos
Objetivo: limitar el acceso a la información y a las instalaciones de procesamiento de la información, mediante el establecimiento de una política para el control de los accesos, incluyendo a las redes y a los servicios de red
Objetivo: asegurar el acceso de los usuarios que estén autorizados y así evitar los accesos no autorizados a los sistemas de información, mediante la emisión y revocación de accesos a la red y los sistemas, la gestión de perfiles y los derechos de los usuarios privilegiados
Objetivo: hacer que los usuarios respondan por la salvaguarda de su información de autentificación, mediante el uso de la información secreta para la autenticación
Objetivo: prevenir el acceso no autorizado a los sistemas y aplicaciones, mediante la restricción del acceso a la información, empleando procedimientos de ingreso seguros, la gestión de contraseñas, restricción del uso de programas utilitarios y controlando el acceso a los códigos fuentes de los sistemas y aplicativos
Objetivo: asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información, mediante el establecimiento de una política que contenga los lineamientos para el control criptográfico y las actividades para gestionar las claves
Objetivo: impedir el acceso no autorizado físico, los daños e interferencia a la información y a las instalaciones de procesamiento de la información de la organización, mediante la protección del perímetro y los controles de ingreso físico, aseguramiento de las áreas críticas, áreas de carga y despecho, y la protección contra amenazas externas y ambientales
Objetivo: prevenir la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organización, mediante la implementación de protecciones en el emplazamiento de los equipos, los suministros de servicios, la seguridad en el cableado, el mantenimiento de los equipos y la remoción de los equipos
Objetivo: prevenir la pérdida, daño, robo o el compromiso de los activos y la interrupción de las operaciones de la organización, mediante la seguridad fuera de las instalaciones, la reutilización y disposición, los equipos des atendidos, escritorio limpio y pantalla limpias, y la revisión independiente
Objetivo: asegurar que las operaciones en las instalaciones de procesamiento de la información sean correctas y seguras, mediante la formalización y documentación, se gestión los cambios, las capacidades y la separación de los entornos de desarrollo, prueba y de producción
Objetivo: asegurar que la información y las instalaciones de procesamiento de la información estén protegidas contra malware
Objetivo: proteger contra la pérdida de datos
Objetivo: registrar todos los eventos necesarios y generar las evidencias, mediante la generación de estos registros de eventos, incluyendo los relacionados a las operaciones de los administradores y operadores, implementado protección para estos registros y asegurando la sincronización de los relojes para la trazabilidad de las acciones
Objetivo: asegurar la integridad de los sistemas y de la información
Objetivo: prevenir la explotación de vulnerabilidades técnicas, mediante una gestión oportuna y restringiendo la instalación de software
Objetivo: minimizar el impacto de las actividades de los sistemas de información
Objetivo: asegurar la protección de la información en las redes y en sus instalaciones que soportan el procesamiento de información, mediante la implementación de controles, servicios de seguridad y segregación en las redes
Objetivo: mantener la seguridad de la información durante su transferencia dentro o fuera de la organización, mediante el establecimiento de políticas y procedimientos, inclusión de acuerdos sobre la transferencia de la información, confidencialidad y no divulgación, y la protección de la mensajería electrónica
Objetivo: garantizar que la seguridad de la información sea parte integral del ciclo de vida de los sistemas de información. Esto también incluye los requisitos para sistemas de información que provean servicios sobre redes públicas, mediante el análisis y especificaciones de los requerimientos de seguridad de la información, aseguramiento de los servicios de aplicaciones sobre las redes públicas y la protección de las transacciones de las aplicaciones
Objetivo: garantizar que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información, mediante el establecimiento de una política para el desarrollo de sistemas seguros, el empleo de procedimientos formales para realizar los cambios en los aplicativos, revisar técnicamente las aplicaciones y restringiendo el acceso a los paquetes
Objetivo: garantizar que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información, mediante el estableciendo del principio de ingeniera de sistemas seguros, el empleo de entorno seguros, asegurando la información en los sistemas externos adquiridos y realizando las pruebas necesarias que prevean incidentes o brechas de seguridad
Objetivo: proteger la confidencialidad de la información durante las pruebas de los sistemas de información
Objetivo: asegurar la protección de los activos de la organización que son accesibles por los proveedores, mediante el establecimiento de una política con los lineamientos para establecer y gobernar las relaciones con los proveedores, las medidas para abordar los requerimientos de seguridad en los contratos y el aseguramiento en la cadena de suministros tecnológicos y de comunicaciones
Objetivo: mantener un nivel acordado de seguridad de la información y prestación de servicios en línea con los acuerdos del proveedor, mediante el monitoreo y revisión de los proveedores, así como la gestión de los cambios en los servicios brindados por los proveedores
Objetivo: asegurar mediante un enfoque consistente y efectivo se gestionen los incidentes de seguridad de la información, incluyendo la identificación sobre eventos de seguridad y las debilidades, para lo cual se deben establecer las responsabilidades, los planes de respuesta, la detección y evaluación de los eventos y debilidades, al actividades de respuesta y la mejora mediante la revisión de las lecciones aprendidas
Objetivo: que la continuidad de seguridad de la información deba estar embebida en los sistemas de gestión de continuidad del negocio de la organización, mediante su planificación, implementación y la revisión
Objetivo: asegurar la disponibilidad de la información y de las instalaciones donde se procesa esta información
Objetivo: evitar infracciones de las obligaciones legales, estatutarias, regulatorias o contractuales relacionadas a la seguridad de la información y a cualquier requisito de seguridad, mediante la identificación de estos requisitos, asegurando los derechos de propiedad intelectual, la protección de los registros, la protección de la privacidad y datos personales y el cumplimiento de las regulaciones para los controles criptográficos
Objetivo: asegurar que la seguridad de la información está implementada y sea operada de acuerdo con las políticas y procedimientos organizativos
La implementación de un sistema de gestión de seguridad de la información en el presente contexto digital que vivimos hoy en día resulta de suma importación, esto lo podemos observar en el informe de riesgos del 2018 del foro económico mundial donde las amenazas de ciber ataques y fraudes ocupan el tercer y cuarto puesto respectivamente en lo relacionado a la probabilidad de ocurrencia, esto mismo lo podemos confirmar viendo las últimas amenazas mundiales de los últimos años como los últimos ciber ataques o fraudes a las entidades bancarias.
Así mismo, muchas organizaciones tienen la necesidad legal, regulatoria o contractual de implementar un sistema de gestión de seguridad de la información ya sea para cumplir con normas técnicas dictadas por el estado, sector industrial o en caso tengan la necesidad de invertir en la bolsa de valores.
Cualquiera que sea su motivación la implementación de un sistema de gestión de seguridad de la información se basa en el estándar internacional ISO/IEC 27001:2013, en ese sentido este curso está compuesto por tres partes:
En la primera parte veremos un poco de introducción, revisaremos que es la ISO y la serie de familia referida a la seguridad de la información, pasando por un poco de contexto mundial y revisando algunos conceptos generales.
En la segunda parte revisaremos y entenderemos cada uno de los requerimientos para poder establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información, el cual cumple con el ciclo de mejora continua establecido por Deming, que está compuesto por las etapas de planificar, hacer, verificar y actuar con el objetivo de alcanzar la mejora continua en cada iteración.
En la tercera parte revisaremos los controles que están descritos en el anexo A y que referencian a la ISO/IEC 27002:2013 que deben ser implementados en la medida que sea aplicable para reducir la probabilidad e impacto de los riesgos de seguridad de la información, en total existen 114 controles descritos en este anexo A los cuales están agrupados en 14 grupos y 35 sub grupos.
Finalmente, tendremos un pequeño examen sobre los puntos revisados en las sesiones y un material de trabajo adicional el cual les ayudara a determinar el nivel de cumplimiento del estándar durante la implementación, mantenimiento y mejora del sistema de gestión de seguridad de la información, así como preparar la declaración de aplicabilidad que revisaremos en las sesiones de la clase.
Al finalizar el curso usted podrá adquirir conocimientos solidos sobre cada requerimiento de la ISO/IEC 27001:2013 y control de la ISO/IEC 27002:2013, entre los principales objetivos que alcanzaras con este curso tenemos:
Comprender y adquirir los conocimientos de cada uno de los requerimientos del sistema de gestión de seguridad de la información y de los controles establecidos en el anexo A.
Dominar estos conceptos y también las pautas para saber cómo realizar la implementación y auditoria de cada uno de los requisitos y de los controles
Finalmente contar con las capacidades y conocimientos para asesor a las organizaciones en la implementación y mantenimiento de un sistema de gestión de seguridad de la información.