Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Existen 114 en la ISO, pero para ser OSE solo se requiere cumplir 60
controles específicos.
Seguridad Informática (37%)
Seguridad Física
Gestión de Recursos
Humanos
Protección Legal
Organización
Operaciones
= Seguridad de la
Información
Procesos
Activos
Gestión de Recursos Físicos
(papeles y documentos físicos)
Fases de la ISO 27001:2013
Identificar todas las cuestiones internas (recursos, procesos, etc) y externas (partes
interesadas, entorno político, económico, cultural, tecnológico y competitivo )
Identificar las partes interesadas incluyendo leyes aplicables, regulaciones, contratos,
etc.
Definir el alcance del SGSI
RIESGOS CONTROLES
Incumplimiento de las Leyes A.18.1.1 Identificación de requisitos
y Regulaciones contractuales y de legislación aplicables
Contexto de la
organización
La administración debe demostrar liderazgo y compromiso por el SGSI
Documentar la Política de Seguridad de la Información
Asignar y comunicar los roles y responsabilidades de seguridad de la información
RIESGOS CONTROLES
A.6.1.1 Roles y responsabilidades para la
Escalamiento de privilegios
seguridad de la información
Empleados Deshonestos A.7.2.3 Proceso disciplinario
Violación a las políticas A.18.2.2 Cumplimiento de políticas y normas
de seguridad
A.9.2.3 Gestión de derechos de acceso
privilegiados
A.9.2.5 Revisión de derechos de acceso de
usuarios
Liderazgo A.9.4.1 Restricción de acceso a la información
Declaración de aplicabilidad
Acción de análisis, evaluación y tratamiento de riesgos de los activos.
RIESGOS CONTROLES
Riesgo no captado A.17.1.3 Verificación, revisión y
evaluación de continuidad de
seguridad de la información
Violación de Contraseñas A.9.4.3 Sistema de gestión de
contraseñas
Keylogging A.11.2.8 Equipos de usuario
desatendidos
Port Scanning A.12.2.1 Controles contra códigos
maliciosos
Planificación Password Craking A.9.4.5 Control de acceso al código
fuente de los programas
Recursos
Competencias (conocimientos y habilidades)
Concientización
Comunicación
Información documentada (planes, políticas, informes, procedimientos, registros)
RIESGOS CONTROLES
Software Ilegal A.8.1.2 Propiedad de los activos
Acceso clandestino a redes A.13.1.1 Controles de la red
RIESGOS CONTROLES
Destrucción de equipamiento A.17.1.2 Implementación de
continuidad de seguridad de la
información
Interrupción de los servicios A.16.1.1 Responsabilidades y
procedimientos
Captura de PC desde el exterior A.11.1.4 Protección contra
amenazas externas y ambientales
Robo o extravió de notebooks A.12.3.1 Respaldo de la información
Operación
Realizar un seguimiento, medición, análisis y evaluación del SGSI y los controles
Planificar y realizar una auditoría interna
La administración realiza una revisión periódica del SGSI
RIESGOS CONTROLES
No cumplimiento de procedimientos A.18.2.1 Revisión independiente de
implantados la seguridad de la información
Falta de revisión de los controles A.17.1.3 Verificación, revisión y
implantados evaluación de continuidad de
seguridad de la información
Documentación no actualizada A.17.1.2 Implementación de
continuidad de seguridad de la
información
Evaluación del
desempeño
No conformidades y acción correctiva
Mejora continua
RIESGOS CONTROLES
Estancamiento de la norma dentro A.17.1.1 Planificación de
de la empresa continuidad de seguridad de la
información
Descontinuación del sistema de A.17.1.3 Verificación, revisión y
gestión de seguridad de la evaluación de continuidad de
información seguridad de la información
Mejoras
Resumen