Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La FEUD es el Centro de
Entrenamiento Autorizado
de las marcas mas representativas
en Gobierno TI
con el portafolio mas amplio de
Latinoamérica
Copyright© CO. Todos los derechos reservados. Todas las marcas, nombres comerciales, marcas de servicios y logotipos a los que se hace referencia en
el presente documento pertenecen a sus respectivas empresas. PMI® es una marca registrada por el Project Management Institute, Inc ITIL® is a Registered
Trade Mark of the Office of Government Commerce in the United Kingdom and other countries. The Swirl Logo ™ is a Trade Mark of the Office of Government.
Diplomado en Seguridad de la
Información
Enfocado en Estandar ISO 27001
Cristhian Alexander Padilla Rodriguez
Ing. Sistemas
Especialista en Telecomunicaciones
Especialista en Seguridad de la Información
CISM - LCM ISO27032 - Auditor Lider ISO 27001 – Auditor Lider ISO22301
CEH MASTER – CIH – CPTE
AWS SCS - SAA – AWS CCP
Objetivo
Nivelar a los participantes del diplomado en
Seguridad de la Información frente a los
conceptos, numerales de cumplimiento,
Objetivos de control y controles que hacen parte
de la Norma ISO 27001:2013
¿Qué es ISO 27000 ?
1995
BS 7799-2 Certificable
1998
ISO/IEC 17799 Código de
prácticas
2000
BS 7799-2 Revisión
2002
ISO/IEC 17799 Revisión
2005
ISO/IEC 27001
27000
ISO IEC
TR 27008
FAMILIA ISO 27004
Métricas
Audita ISO IEC 27000
Ctrls
ISO IEC
27007 ISO IEC
Pautas de 27005
Auditoria Riesgos
del SGSI ISO IEC
27006
Acreditación
ISO 27001 compuesta por
14 dominios
35 objetivos de control
114 controles
Sistema de Gestión de Seguridad de la Información
(SGSI)
Video
https://www.youtube.com/watch?v=zV2sfyvfqik&list=PLEC0C6E0B2BC12927&index=1
Seguridad de la información y Seguridad
Informática.
Es una directriz de la ISO para la redacción de normas de sistemas de gestión basada en tres pilares
El Anexo SL es el estándar que define la nueva estructura de Alto Nivel para todos los sistemas de
gestión de las Normas ISO.
DEFINICIONES
TÍTULOS IDÉNTICOS TEXTOS Y TÉRMINOS
PRINCIPALES
PARA LOS CAPÍTULOS COMUNES IDÉNTICOS
IDÉNTICAS
• Todas las normas tendrán • Todos los elementos • En todas las normas se
los mismos capítulos y comunes a todas las utilizará el mismo
secciones básicas. normas se describirán vocabulario básico.
• Para cada norma usando los mismos textos • Para cada norma podrán
particular pueden (texto estándar – anexo establecerse definiciones
adicionarse subcapítulos SL). adicionales pero
y subcláusulas. • En todas las normas se únicamente para
utilizarán términos términos técnicos de la
iguales con significados especialidad.
iguales.
ESTRUCUTRA GENERAL DE LA NORMA
ISO 27002
Controles ANEXO A Código de práctica
técnicos Controles
A5. - A.18
ISO 27001:2013 - contenido
OBJETO Y CAMPO DE APLICACIÓN
REFERENCIAS NORMATIVAS
TÉRMINOS Y DEFINICIONES
CONTEXTO DE LA ORGANIZACIÓN
LIDERAZGO
PLAN
PLANIFICACIÓN
SOPORTE
DO OPERACIÓN
CHECK EVALUACIÓN DEL DESEMPEÑO
ACT MEJORA
Requisitos certificables de la norma
CONTEXTO DE LA ORGANIZACIÓN
LIDERAZGO
PLANIFICACIÓN
SOPORTE
OPERACIÓN
MEJORA
CAPITULO 4
CONTEXTO DE LA
ORGANIZACIÓN
LIDERAZGO
PLANIFICACIÓN
6.2
6.1 OBJETIVOS DE
ACCIONES PARA SEGURIDAD DE LA
TRATAR RIESGOS Y INFORMACIÓN Y
OPORTUNIDADES PLANES PARA
LOGRARLOS
6.1.1
Generalidades
6.1.2
Evaluar los
riesgos de SI
6.1.3
Tratamiento de
Riesgos de SI
CAPITULO 7
SOPORTE
7.5.1
Generalidades
7.5.2 Creación
y Actualización
7.5.3 Control de
la Información
Documentada
CAPITULO 8
OPERACIÓN
EVALUACIÓN DEL
DESEMPEÑO
MEJORA
10.1 10.2
NO MEJORA CONTINUA
CONFORMIDADES Y
ACCIONES
CORRECTIVAS
ISO 27001:2013 – ANEXO A
A5 Política de
Seguridad A6 Organización
de la Seguridad
A11 Seguridad de la información
Física y del
Entorno
A7 Recursos
Humanos
A10 Criptografía
A12 A13
Operaciones Comunicacione
A18
Cumplimiento s
A14
A17 Adquisición,
Continuidad del Desarrollo y
Negocio Mantenimiento
A15
A16 Incidentes Proveedores
4. Contexto de la organización
Planear Hacer
Compromiso de la Dirección Compromiso de la Dirección
Actuar Verificar
4. Contexto de la organización
4.4 SGSI
https://www.youtube.com/watch?
v=i_3z68QGaJs&index=3&list=PLEC0C6E0B2BC12927
Definición del alcance del SGSI
Metodología de las elipses
5. Liderazgo
5.1 Liderazgo y Compromiso 5.2 política 5.3 Roles,
responsabilidades y
Autoridades en la
organización
•Asegurando que se establece la Adecuada al propósito La alta dirección
política los objetivos del SGSI de la empresa. debe asegurarse de
•Asegurando la integración de los Incluya objetivos de que se asignan y
requisitos del SGSI con los Seguridad de la comunican las
proceso del negocio información responsabilidades y
autoridades.
•Asegurando la disponibilidad de Incluya un compromiso
los recursos necesarios de cumplir los requisitos
aplicables relacionados
con la Seguridad.
•Comunicando la importancia de Estar documentada y
u n a g e s t i ó n e f i c a z y d e comunicada
conformidad con los requisitos del
SGSI.
6. Planificación
6.1 Acciones para tratar riesgos y oportunidades
DEFINICIÓN DE RIESGO
“Posibilidad de ocurrencia de cualquier
evento (interno y externo) que puede afectar
a una empresa, ocasionándole pérdidas que
disminuyen la capacidad para lograr sus
objetivos y generar valor para sus
accionistas, dueños, grupos de interés y
beneficiarios”.
ADMINISTRACIÓN DE RIESGOS. UNA ENFOQUE EMPRESARIAL
Rubi Consuelo Mejía
Conceptos básicos
CATEGORÍ SUBCATEGORÍA RIESGO DESCRIPCIÓN
A
SI CONFIDENCIALIDAD ACCESO NO AUTORIZADO Entrada sin la autorización del responsable del activo
de información asignado por la entidad para su uso.
Aversión al riesgo
Actitud de rechazo que experimenta un inversor ante el
riesgo financiero, en concreto ante la posibilidad de sufrir
perdida en el valor de sus activos. El grado de aversión al
riesgo determina el perfil del inversor (conservador, medio,
arriesgado) y debe ser el punto de partida para elegir un
punto de inversión
Conceptos básicos
Aceptabilidad del riesgo
Tolerable
Inaceptable
Inadmisible
Conceptos básicos
Mapa de riesgos inherente - residual
RIESGOS EN ZONA INACEPTABLE
( 1) Compromiso de la información, por acceso no
autorizado al aplicativo puntos de venta
( 2) Compromiso de la información, por acceso no
autorizado a la base de datos Asopagos
( 3) Compromiso de la información, por acceso no
autorizado al aplicativo OPA
(10) Interrupción de la operación, por disposiciones
legales sobre propiedad intelectual
(14) Perdida de la información de conciliación bancaria,
por falta de backup de la misma
Amenaza
Vulnerabilidad
Activo de información
D i r e c t o r ,
Suite de herramientas
Responsab Gerentes, Jefes
que permite visualizar
Business le del de área,
1 Software la información que se Srvprdbo Electrónico Electrónico
Object proceso de Coordinadores y
almacena en la
BI Analistas de
bodega de datos.
información.
Servidor donde se
encuentra alojado el Jefe del
aplicativo Business departame Cuchica BI
2 Hardware Srvprdbo - Blade NA Business Object Físico
Object. Hace parte de nto de
center
una cuchilla ubicada Informática
en el blade center.
Conceptos básicos
Matriz de activos de información
6
7
7. Soporte
7.4 7.5
7.2 7.3 Toma de
7.1 Recursos Comunicació Información
Competencia conciencia
n documentada
7.2 Competencia
Se debe:
• Determinar la competencia de las personas
que realizan un trabajo que afecte el
desempeño de la seguridad de la información
• Asegurar que las personas sean competentes,
basándose en: educación, formación o
experiencia adecuadas.
• Tomar acciones para adquirir la competencia
necesaria y evaluar su eficacia.
• Conservar la información documentada como
evidencia.
7.3 Toma de conciencia
Las personas deben tomar conciencia de:
• La política.
• Su contribución a la eficacia, incluyendo
los beneficios a la mejora del desempeño.
• Las implicaciones de la No Conformidad
con los requisitos del SGSI.
7.4 Comunicación
Se debe determinar la necesidad de
comunicaciones externas e internas que
incluyan:
• El contenido de la comunicación
• Cuando comunicar
• A quién comunicar
• Quién debe comunicar
• Los procesos para llevar a cabo la
comunicación
7.4 Comunicación
MATRIZ DE COMUNICACIÓN EXTERNA E INTERNA
ASPECTO A A QUIEN LE ESTRATEGIA Y
RESPONSABLE CUANDO COMUNICA
COMUNICAR COMUNICA MEDIO
Política Representante A todas las Al ingreso de un nuevo Intranet,
de la alta partes empleado o miembro de cartelera,
Dirección interesadas Consejo Directivo. folletos, etc.
Lideres de Al ingreso de un nuevo
procesos proveedor.
Cuando la políca haya sido
modificada.
7.5 Información documentada
7.5.1 Generalidades
Debe incluir:
Información documentada requerida por la norma
Información documentada que la organización ha determinado que es
necesaria.
Se debe determinar:
• A qué se requiere hacer seguimiento y medir.
• Los métodos de seguimiento, medición,
análisis y evaluación.
• Quien debe llevar a cabo el seguimiento y la
medición.
• Cuándo se deben analizar y evaluar los
resultados.
• Quién debe analizar y evaluar estos resultados.
9. Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación.
Auditoria Interna
Proceso sistemático, independiente,
documentado, para obtener evidencia y
evaluarla objetivamente, con el fin de
determinar en que grados se cumplen los
criterios de la auditoría.
9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011
Tipos de auditoria
De primera parte
Auditorias internas, las cuales pueden ser realizadas por personal
interno de la organización o por una entidad externa.
De segunda parte. (Cliente a Proveedor)
Una auditoria realizada por una organización externa en con
intereses en la organización
De tercera parte (Auditoria de Certificación)
Una auditoria realizada por una organización independiente comercial
y contractualmente a la organización, sus proveedores y sus clientes.
Esta auditoria es realizada por un organismo que este certificada para
otorgar la certificación del SGSI al ente auditado.
Nota: Cuando se auditan juntos dos o más sistemas de gestión de
diferentes disciplinas (ej. Calidad, ambiental, seguridad, etc.) esto se
denomina auditoria combinada.
9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011
Principios de auditoria
Competencias de auditores
■ ISO 19011:2018, Guía para auditorias de sistemas de gestión.
(ISO27007, Guía para auditorías de un SGSI)
9. Evaluación del desempeño
9.2 Auditoria Interna – Conceptos ISO 19011
Principios de auditoria
INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.
AUDITOR (3.8.)
Persona con la competencia para conducir una auditoria.
COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.
OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.
AUDITADO(3.7.)
Organización a ser auditada.
GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría
9. Evaluación del desempeño
9.2 Auditoria Interna
FASES DE AUDITORIA Programa Hallazgos
Plan
Lista de Verif. Conformidades
No Conformidades
9. Evaluación del desempeño
9.2 Auditoria Interna
FASES DE AUDITORIA
9. Evaluación del desempeño
9.2 Auditoria Interna - Programa de auditoria
1.1 Definir el responsable del programa de auditoría. (P)
❑ Resultados y tendencias
❑ Prácticas alternativas de auditoria o nuevas
❑ Conformidad procedimientos
❑ Expectativas de las partes interesadas
❑ Registros de resultados
❑ Desempeño equipo auditor
9. Evaluación del desempeño
9.2 Auditoria Interna - Programa de auditoria
MEJORA DEL PROGRAMA DE AUDITORÍA (A)
Lenguaje de
auditoria:
Objetivos de auditoria:
9. Evaluación del desempeño
9.2 Auditoria Interna - Plan de auditoria
Fecha Hora Auditor área / Departamento / Proceso / Función Contacto clave
Día 1 d 5 8:00 Todos Llegada a la organización
8:05 Reunión de apertura
8:30 Presentación del SGSI por la organización
9:00 Revisión documental del SGSI
10:00 Gestión de riesgos
11:30 Diseño y desarrollo
12:30 Almuerzo
13:50 Departamento legal
14:30 Centro de datos Secundario
16:30 Reunión de retroalimentación
17:00 Fin primer día
9. Evaluación del desempeño
9.3 Revisión por la dirección
A6 Organización de
A11 Seguridad
la Seguridad de la
Física y del Entorno
información
A7 Recursos
A10 Criptografía
Humanos
A9 Control de A8 Gestión de
Acceso Activos
ISO 27001:2013 – ANEXO A
A12 Seguridad de las
operaciones
LA SEGURIDAD DE LA INFORMCIÓN, UN
COMPROMISO DE TODOS.