Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Formación 1
Familia de ISO 27k
La serie ISO 27000 es la que aglomera todas las normativas en materia de seguridad de la información.
VOCABULARIO
CERTIFICABLE y
CONTROLES
ESPECIFICAS
METODOS E
INDICADORES
AUDITORIAS Y
ENTIDADES
CERTIFICADORAS
Formación 2
CAPÍTULO 1
Formación 3
Activos de Información
Activo: Todo lo que tiene valor para la organización (ISO/IEC 27002 3.1.2)
Tipos de Activos:
• Software
• Computadora, servidor, etc.
• Servicios
• Personas y sus habilidades, certificaciones, etc.
• Intangibles, como su reputación e imagen
Formación 4
Clasificación de Activos
Formación 5
Seguridad de la Información
Formación 6
Riesgo
Formación 7
Riesgo de seguridad de la información
Posibilidad de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos
y cause daño a la organización
Formación 8
Sistema de Gestión de Seguridad de la Información
Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar la seguridad de la información de las organizaciones para llegar a los objetivos del negocio.
Nota: Lo que es implementado debe ser controlado y medido, lo que es controlado y medido debe ser
administrado
Formación 9
Requisitos de Seguridad de la Información
➢ la evaluación de los riesgos para la organización, tomando en cuenta la estrategia y los objetivos de
negocio generales de la organización. Esto se puede facilitar o respaldar mediante una evaluación de
riesgos específica para la seguridad de la información. Esto debería resultar en la determinación de los
controles necesarios para garantizar que el riesgo residual para la organización cumpla con sus criterios
de aceptación del riesgo;
➢ los requisitos legales, estatutarios, y contractuales que una organización y sus partes interesadas
(socios comerciales, proveedores de servicios, entre otros) tienen que cumplir y su entorno sociocultural;
➢ el conjunto de principios, objetivos y requisitos de negocio para todos los pasos del ciclo de vida de la
información que una organización ha desarrollado para respaldar sus operaciones.
Formación 10
Tres Pilares de la Seguridad de la Información
Confidencialidad
Asegurando que sólo quienes
estén autorizados pueden
acceder a la información
Disponibilidad
Asegurando que los usuarios
autorizados tienen acceso
a la información usando lo
requieran.
Integridad
Asegurando que la información
y sus métodos de
proceso son exactos y
completos.
Formación 11
CAPÍTULO 2
Formación 12
ISO/IEC 27001:2022
Formación 13
A
ISO 27001:2022 C
Clausulas D
Formación 14
4. Contexto de la Organización
Definición de un SGSI
Clausula 4.1- 4.4
Formación 15
Determinar el Alcance, 4.3
Formación 16
Definir el alcance y exclusiones
ISO 27001, Clausula 4.3 - 6.1.3 d
La organización y sus interesados
Toda la organización
Un Departamento
Un proceso clave
Formación 17
Ejemplo de Alcance del SGSI
El XYZ, considerando los factores internos y externos, las partes interesadas y sus expectativas, ha definido el
alcance del SGSI en:
Formación 18
Sistema de Gestión de Seguridad de la Información
Formación 19
Taller 01
Determine el Contexto de la
Organización y sus partes
interesadas.
5. Liderazgo y Compromiso
Clausula 5.1
1 2 3
Orientación estratégica Hacer recursos disponibles Comunicación
Asegurar que el SGSI es La dirección debe La dirección debe
compatible con la determinar y proveer los comunicar la importancia
orientación estratégica de recursos necesarios para el efectiva del SGSI y la
la organización SGSI conformidad con sus
Integrar los procesos procesos
requerimientos del SGSI a
los procesos del negocio
de la organización
Formación 21
Política de Seguridad de la Información
Clausula 5.2
Formación 22
Ejemplo de Política de Seguridad de la Información
La empresa XYZ establece los mecanismos para respaldar la difusión y actualización, tanto de la
presente política como de los demás componentes del Sistema de Gestión de Seguridad de la
Información»
Formación 23
Roles, responsabilidades y autoridades organizacionales
Clausula 5.3
La alta gestión debe debe asegurar que las responsabilidades y la autoridad para los
roles relevantes a la seguridad de la información estén asignadas y comunicadas.
Formación 24
6. Planificación
Clausula 6.1.1
Formación 25
6. Planificación
01 02 03
Formación 26
Identificar, analizar y evaluar el Riesgo
Clausula 6.1.2 c
Identificar las amenazas Identificar vulnerabilidades
1 2 3 4 5
Identificar los activos Identificar los controles existentes Identificar las consecuencias
Clausula 6.1.2 d, e
Evaluación de las probabilidad
consecuencias Evaluar riesgos
1 2 3 4
Formación 27
Opciones de tratamiento del riesgo
Clausula 6.1.3 a
Simplemente
acepta la pérdida
probable y se Asumir el
elabora planes de riesgo Reduce su efecto a través del traspaso de las
contingencia para pérdidas a otras organizaciones, como en el caso
su manejo. de los contratos de seguros o a través de otros
Compartir el medios que permiten distribuir una porción del
riesgo riesgo con otra entidad, como en los contratos a
riesgo compartido.
Formación 28
Selección de Controles
Clausula 6.1.3 b-c
• Determinar todos los controles necesarios para implementar la opción del tratamiento
de riesgo de seguridad de la información escogida
• Controles seleccionados pueden ser escogidos directamente del Anexo A como
también pueden provenir de otras fuentes
• Comparar los controles determinados en 6.1.3 b) con el anexo A y verificar que los
controles no necesarios han sido omitidos.
Formación 29
Declaración de Aplicabilidad (SOA)
Clausula 6.1.3 d
Formación 30
Formular un Plan de Tratamiento del Riesgo
Clausula 6.1.3
• Un plan de tratamiento del riesgo tiene que ser formulado. El propósito del plan es
documentar como las opciones de tratamiento serán implementadas
• Debería incluir lo siguiente:
• Acción propuesta
• Control o controles de seguridad de la información
• Los responsables de la implementación
• Requerimiento de recursos
• Tiempo y programación
Formación 31
Aprobar el riesgo residual
Clausula 6.1.3 f
Riesgo -
Riesgo Riesgo
inherente Tratado Residual
• Aprobación del propietario del riesgo del plan de tratamiento y riesgo residual
Formación 32
Taller 02
Identifique riesgos de
seguridad de la información.
Objetivos de seguridad de la información y su planificación
Clausula 6.2
Así mismo deberá de planificar cómo va alcanzar sus objetivos y debe determinar:
Formación 34
Planificación de cambios
Clausula 6.3
Formación 35
Taller 03
Establezca una política de
seguridad y los Objetivos de
seguridad de la información
7. Soporte
Clausula 7
Formación 37
Información Documentada
Clausula 7.5
3. Clasificación y
1. Creación 2. Identificación 4. Modificación
Seguridad
9. Disposición
Formación 38
8. Operaciones
Planificación y control operacional
Clausula 8.1
La Organización deber planificar, implementar y controlar los procesos necesarios para cumplir con los
requisitos e implementar las acciones determinadas en el capítulo 6, para:
• establecer criterios para los procesos;
• implementar el control de los procesos de acuerdo con los criterios.
La información documentada debe estar disponible en la extensión necesaria para tener confianza en que
los procesos se han llevado a cabo según lo planeado.
La organización debe controlar los cambios planeados y revisar las consecuencias de cambios no
intencionados, actuando para mitigar cualquier efecto adverso, según sea necesario.
La organización debe asegurar que los procesos, productos o servicios provistos de forma externa que
son pertinentes para el sistema de gestión de seguridad de la información, son controlados.
Formación 39
8. Operaciones
Formación 40
9. Evaluación del desempeño
Formación 41
Auditorias Internas del SGSI
Clausula 9.2
Formación 42
Revisión por la Dirección
Clausula 9.3
Formación 43
Taller 04
Establezca indicadores del
SGSI
Mejora
Clausula 10.1 Mejora Continua
Formación 45
Mejora
Clausula 10.2 No conformidad y acción correctiva
Formación 46
ISO/IEC 27002:2022
27002:2022
Documento de Controles de seguridad
de la información
Norma NO CERTIFICABLE
Formación 47
Estructura
Formación 48
Principales cambios
Formación 49
Principales cambios
Este nuevo enfoque conlleva también la desaparición del concepto “objetivo de control”,
aunque se incluye un atributo que permite la clasificación específica del control en uno o más
de 15 categorías establecidas.
Formación 50
Principales cambios
Formación 51
Principales cambios
Fusion de los 57 controles a 24 controles:
➢ 5.1.1 (Políticas para la seguridad de la información) y 5.1.2 (Revisión de las políticas para la seguridad
de la información) se fusionan en el control 5.1 de políticas de seguridad de la información.
➢ 8.1.1 (Inventario de activos) y 8.1.2 (Propiedad de los activos) se fusionan en el control 5.9 de
Inventario de información y otros activos asociados.
➢ 8.1.3 (Uso aceptable de los activos) y 8.2.3 (Manipulado de la información) se fusionan en el control
5.10 Uso aceptable de la información y activos asociados.
➢ 8.3.1 (Gestión de soportes extraíbles), 8.3.2 (Eliminación de soportes) y 8.3.3 (Soportes físicos en
tránsito) se fusionan en el control 7.10 Medios de Almacenamiento.
➢ 9.1.1 (Política de control de acceso) y 9.1.2(Acceso a las redes y a los servicios de red) se fusionan en el
control 5.15 Control de Accesos.
Formación 52
Principales cambios
➢ 9.2.4 (Gestión de la información secreta de autenticación de los usuarios), 9.3.1 (Uso de la información
secreta de autenticación) y 9.4.3 (Restricción del acceso a la información) se fusionan en el control 5.17
de Autenticación de información.
➢ 9.2.2 (Provisión de acceso de usuario) y 9.2.5 (Revisión de los derechos de acceso de usuario), 9.2.6
(Retirada o reasignación de los derechos de acceso) se fusionan en el control 5.18 de Derechos de
Acceso.
➢ 10.1.1 (Política de uso de los controles criptográficos) y 10.1.2 (Gestión de claves) se fusionan en el
control 8.24 Uso de Criptografía.
➢ 11.1.2 (Controles físicos de entrada) y 11.1.6 (Áreas de carga y descarga) se fusionan en el control 7.2
Controles de entrada física.
➢ 12.1.4 (Separación de los recursos de desarrollo, prueba y operación) y 14.2.6 (Entorno de desarrollo
seguro) se fusionan en el control 8.31 Separación de ambientes de desarrollo, prueba y producción.
➢ 12.6.1(Gestión de las vulnerabilidades técnicas) y 18.2.3 (Comprobación del cumplimiento técnico) se fusionan
en el control 8.8 Gestión de vulnerabilidades técnicas.
➢ 12.1.2 (Gestión de cambios), 14.2.2 (Procedimiento de control de cambios en sistemas), 14.2.3 (Revisión
técnica de las aplicaciones tras efectuar cambios en el sistema operativo) y 14.2.4 (Restricciones a los
cambios en los paquetes de software) se fusionan en el control 8.32 Gestión del Cambio.
➢ 14.1.2 (Asegurar los servicios de aplicaciones en redes públicas) y 14.1.3 (Protección de las transacciones de
servicios de aplicaciones) se fusionan en el control 8.26 Requerimientos de seguridad en aplicaciones.
Formación 54
Principales cambios
➢ 15.2.1 (Control y revisión de la provisión de servicios del proveedor) y 15.2.2 (Gestión de cambios en la provisión
del servicio del proveedor) se fusionan en el control 5.22 Monitoreo, revisión y gestión del cambio con
proveedores de servicios.
➢ 18.1.1 (Identificación de la legislación aplicable y de los requisitos contractuales) y 18.1.5 (Regulación de los
controles criptográficos) se fusionan en el control 5.31 Identificación de requerimientos legales,
estatutarios, regulatorios y contractuales.
➢ 18.2.2 (Cumplimiento de las políticas y normas de seguridad) y 18.2.3 (Comprobación del cumplimiento técnico)
se fusionan en el control 5.36 Cumplimiento con políticas y estándares para la seguridad de la
información.
Formación 55
Controles
Un control se define como una medida que modifica o mantiene el riesgo. Una política de seguridad de la
información, por ejemplo, solo puede mantener el riesgo, mientras que el cumplimiento de dicha política de
seguridad de la información puede modificar el riesgo.
Formación 56
Controles de seguridad
Estructura de atributos de controles: cada uno de los 93 controles contiene una estructura de
atributos particular que determina:
Formación 57
Tipos de Controles
Es un atributo para ver los controles desde la perspectiva de cuándo y cómo el control modifica el riesgo con
respecto a la ocurrencia de un incidente de seguridad de la información. Los valores de los atributos
consisten en:
➢ Preventivo (control destinado a prevenir la ocurrencia de un incidente de seguridad de la información)
➢ Detectivo (control que actúa cuando ocurre un incidente de seguridad de la información)
➢ Correctivo (control que actúa después de que ocurre un incidente de seguridad de la información)
Formación 58
Propiedades de seguridad de la información
Atributo para ver los controles desde la perspectiva de qué características de la información el control
contribuirá a preservar: Confidencialidad, Integridad o Disponibilidad.
Formación 59
Conceptos de Ciberseguridad
Es un atributo para ver los controles desde la perspectiva de la asociación de los controles con los conceptos
de ciberseguridad definidos en el marco de ciberseguridad descrito en ISO/IEC TS 27110 y usado en otros
marcos de trabajo como NIST-Cibersecurity Framework. Los valores del atributo consisten en:
➢ Identificar
• Hacer una lista de todos los equipos, software y datos que se utilicen.
➢ Proteger
• Controlar quiénes acceden a su red y utilizar sus computadores y otros dispositivos.
• Utilizar programas de seguridad para proteger los datos.
• Codificar los datos delicados, tanto cuando estén almacenados o en tránsito.
• Hacer copias de seguridad de los datos con regularidad.
• Actualizar programas de seguridad con regularidad, en lo posible, automatizar las actualizaciones.
• Capacitar sobre ciberseguridad a todas las personas que utilizan sus ordenadores, dispositivos y
redes.
Formación 60
Conceptos de Ciberseguridad
ISO/IEC 27002, clausula 4.2
➢ Detectar
• Monitoree sus computadoras para controlar si detecta acceso de personal no autorizado a sus
dispositivos y software.
• Revisar su red para controlar si detecta usuarios o conexiones no autorizados.
• Investigar cualquier actividad inusual en su red o por parte de su personal.
➢ Responder
• Notificar a los clientes, empleados y otros cuyos datos pueden estar en riesgo.
• Mantener en funcionamiento las operaciones del negocio.
• Reportar el ataque a los encargados del cumplimiento de la ley y otras autoridades.
• Investigar y contener un ataque.
• Actualizar la política y el plan de ciberseguridad con las lecciones aprendidas.
Formación 61
Capacidades operacionales
ISO/IEC 27002, clausula 4.2
Es un atributo usado cuando la organización requiere una clasificación de controles desde una perspectiva
práctica, por ejemplo, cuando la organización quiere asignar responsabilidades o establecer lineamientos de
implementación.
Formación 62
Dominios de seguridad
ISO/IEC 27002, clausula 4.2
Es un atributo usado en el caso que la organización quiera clasificar sus controles desde una perspectiva del
campo de aplicación de la seguridad de la información y ciberseguridad, su expertise, servicios y productos
relacionados, estos son
Protección, incluye “Arquitectura segura de T.I.”, “Administración de seguridad T.I.”, Gestión de identidades y
accesos”, “Mantenimiento de la seguridad T.I.” y “seguridad física y del entorno”;
Formación 63
ATRIBUTOS DE CONTROLES
Formación 64
ISO/IEC 27002:2022
5. Controles organizacionales
Formación 65
ISO/IEC 27002:2022
5. Controles organizacionales
Formación 66
ISO/IEC 27002:2022
5. Controles organizacionales
Formación 67
Taller 05
¿Cómo implementaria el
control 5.7 Inteligencia de
Amenazas
ISO/IEC 27002:2022
6. Controles de Personas
6.1 Selección
6.2 Términos y condiciones de empleo
6.3 Concientización, educación y capacitación en seguridad de la información
6.4 Proceso disciplinario
6.5 Responsabilidades después de la terminación o cambio de empleo
6.6 Acuerdos de confidencialidad o no divulgación
6.7 Trabajo a distancia
6.8 Reporte de eventos de seguridad de la información
Formación 69
ISO/IEC 27002:2022
7. Controles Físicos
Formación 70
ISO/IEC 27002:2022
8. Controles Tecnológicos
8.1 Dispositivos de punto final de usuario
8.2 Derechos de acceso privilegiado
8.3 Restricción de acceso a la información
8.4 Acceso al código fuente
8.5 Autenticación segura
8.6 Gestión de la capacidad
8.7 Protección contra malware
8.8 Gestión de vulnerabilidades técnicas
8.9 Gestión de la configuración
8.10 Eliminación de información
8.11 Enmascaramiento de datos
8.12 Prevención de fuga de datos
8.13 Copia de seguridad de la información
8.14 Redundancia de las instalaciones de procesamiento de información
8.15 Registro
8.16 Actividades de seguimiento
Formación 71
ISO/IEC 27002:2022
8. Controles Tecnológicos
8.17 Sincronización del reloj
8.18 Uso de programas de utilidad privilegiados
8.19 Instalación de software en sistemas operativos
8.20 Seguridad de redes
8.21 Seguridad de los servicios de red
8.22 Segregación de redes
8.23 Filtrado web
8.24 Uso de criptografía
8.25 Ciclo de vida de desarrollo seguro
8.26 Requisitos de seguridad de la aplicación
8.27 Arquitectura del sistema seguro y principios de ingeniería
8.28 Codificación segura
8.29 Pruebas de seguridad en desarrollo y aceptación
8.30 Desarrollo subcontratado
8.31 Separación de los entornos de desarrollo, prueba y producción
8.32 Gestión de cambios
8.33 Información de prueba
8.34 Protección de los sistemas de información durante las pruebas de auditoría
Formación 72
Taller 06
¿Cómo implementaria el
control 8.23 Filtrado web y
8.28 Codificación segura
ISO/IEC 27002:2022
ANEXO A
La Tabla A.1 contiene una matriz de todos los controles en este documento con sus valores de
atributos datos.
Formación 74
ISO/IEC 27002:2022
ANEXO B
Formación 75
Gracias