Fundamentos Sgsi
Fundamentos Sgsi
Fundamentos Sgsi
Unidades de Contenido
aprendizaje del Curso
• Fundamentos de la gestión • Introducción al Sistema de gestión de seguridad
de la seguridad de la de la información SGSI
información. • Antecedentes y desarrollo de las normas de
• Estructura general de la gestión de seguridad de la información 16
NTC ISO/IEC ISO • Gestión por procesos y PHVA Horas
27001:2022. • Análisis de la norma NTC ISO/IEC 27001:2022
• Estructura de los controles
del Anexo A Pre-requisito
Material a entregar N/A.
Memorias, GTC ISO / IEC 27002:2022, NTC ISO/IEC 27001:2022, Tabla
de relación de controles y atributos, Tabla de equivalencia ISO IEC 27002
© Icontec.
2013 a 2022 y Tabla de equivalencia ISO IEC 27002 2022 a 2013 Derechos reservados.
Fundamentos del SGSI NTC ISO/IEC 27001:2022
Fundamentos del SGSI NTC ISO/IEC 27001:2022
Norma
NTC
UNIDADES DE ISO/IEC
OBJETIVOS CONTENIDOS 27001
APRENDIZAJE
Idalberto Chiavenato.
Objetivos Fórmulas
Financiero
Procedimientos El activo
imprescindible de tu
organización
Personas
App
Base de
Indicadores Datos
Datos
Nube
Seguridad de la información
Puertas
Virus Espionaje Ransomware Traseras
Phishing
Ingeniería Necesidad de la Eventos
Social Sabotaje Naturales Phishing
seguridad?
integridad y disponibilidad de la
información.
Además, otras propiedades, como
autenticidad, no repudio y confiabilidad Phishing
también pueden estar involucradas. Phishing
ISO/IEC 27000:2018
• Confidencialidad Propiedad cuya información no se coloca a
Seguridad disposición o se divulga a personas, entidades o procesos no
de la autorizados.
ISO/IEC 27000:2018
ISO/IEC 27001:2022
© Icontec. Derechos reservados.
Sistema de gestión de seguridad de la
información SGSI
Ciberseguridad
Preservación de la confidencialidad, integridad y disponibilidad de la información en el ciberespacio.
ISO/IEC 27032:2012
Ciberseguridad
La seguridad de la información se puede utilizar para evaluar y gestionar los riesgos de ciberseguridad.
Esto puede hacerse a través de un enfoque de sistemas de gestión. Un Sistema de Gestión de Seguridad
de la Información (SGSI) como se describe en ISO / IEC 27001 es una forma bien probada para que
cualquier organización implemente un enfoque de ciberseguridad basado en el riesgo.
ISO/IEC 27103:2018
El dominio de la privacidad se superpone parcialmente con la seguridad, que puede incluir los conceptos de
uso adecuado y protección de la información.
2022
ECOSISTEMA
+ + Seguridad de la
Información
ISO 27001 ISO 27002 ISO 27000
Seguridad de la
información,
ciberseguridad y ISO 27032
+ + Ciberseguridad
ISO 27103 ISO 27017
protección de la
privacidad
Protección de
+ + + + la Privacidad
ISO 29100 ISO 27701 ISO 27018 ISO 29134 ISO 29151
Riesgos
+
ISO 31000 ISO 27005 © Icontec. Derechos reservados.
Gestión por Procesos y
PHVA
v
Los resultados
deseados se
alcanzan más
eficientemente
cuando
los recursos y las
actividades
relacionadas se
gestionan como
un proceso.
ISO 9001
Conjunto de actividades que están interrelacionadas y que pueden interactuar entre sí.
Estas actividades transforman los elementos de entrada en resultados, para ello es esencial
la asignación de recursos.
© Icontec. Derechos reservados.
Descripción de procesos
P
ACTUAR
¿Cómo mejorar la
próxima vez?
A H HACER Ejecutar lo
planificado
V
VERIFICAR
¿Las cosas pasaron según lo
planificado?
Partes Interesadas
el SGSI
,
Mantener y Implementar
A mejorar el
H
de la información.
y operar el
SGSI SGSI
Hacer
V seguimiento y
revisar el SGSI
Entrada Salida
Documentación
© Icontec. Derechos reservados.
Análisis de la norma NTC ISO/IEC
27001:2022
Estructura de alto
Administrativo nivel Requisitos
4 al 10
ISO/IEC
27001
NTC
Estructura
© Icontec. Derechos reservados.
Estructura 1. OBJETO Y CAMPO DE APLICACIÓN
de la Norma 2. REFERENCIAS NORMATIVAS
3. TÉRMINOS Y DEFINICIONES
4. CONTEXTO DE LA ORGANIZACIÓN
5. LIDERAZGO
6. PLANIFICACIÓN
7. APOYO
8. OPERACIÓN
10. MEJORA
© Icontec. Derechos reservados.
4. Contexto de la
Organización 4.1 Comprensión de la Organización y su
contexto
5.2 Política
Roles, Responsabilidades y
5.3 Autoridades en la Organización
Objetivos de la Seguridad de la
6.2 Información
Evaluación
del riesgo
Comunicación y consulta
Seguimiento y revisión
Análisis del riesgo
Registro e Informe
Proceso
• Plan de tratamiento
• Declaración de aplicabilidad
• Aprobación Riesgos y aceptación
• Aceptación del riesgo residual
Documentación
Dueños de los
del tratamiento
riesgos
de los riesgos
Ser medibles
Ser comunicados
7.2 Competencia
7.4 Comunicación
Qué comunicar
Cuándo comunicar
Cómo comunicar
Control de la ID de Origen
Creación y
Información Externo Necesaria
Actualización
Documentada para SGSI
Procesos,
actividades,
procedimientos y Métodos
controles a medir (Comparables y
reproducibles)
9.1 Seguimiento,
medición,
análisis y
evaluación
Momentos Responsables
Registros de los
resultados
Las acciones
de auditoria de Definir
seguimiento criterios y
verifiquen las alcance de
medidas cada auditoria
tomadas
Programa
de
auditoria
Tomar las
Seleccionar
acciones
los auditores y
correctivas sin
llevar a cabo
demora
las auditorias
injustificada
Informar los
resultados a la
dirección
pertinente
➢ Estado de Revisiones
SALIDA
Decisiones de la Mejora
anteriores
continua y cualquier
➢ Cambios externos e internos.
decisión de cambio.
➢ Cambios en necesidades y
expectativas
➢ Retroalimentación del
desempeño de la SI
▪ No conformidades y
acciones correctivas.
ENTRADAS
▪ Resultados de
seguimiento y medición.
▪ Resultados de Información
Auditorías. Documentada
▪ Cumplimiento de
Desarrollo, análisis,
objetivos.
➢ Resultados de evaluación de conclusiones, planes de
riesgos y estado del plan de acción.
tratamiento.
➢ Comentarios de las partes
interesadas
➢ Oportunidades de mejora
© Icontec.
continua Derechos reservados.
10. Mejora
No conformidades y acciones
10.2 correctivas
CRITERIOS REALIDAD
- ESPECIFICACIONES Conveniencia
-- REGLAMENTOS PROCESOS
- MANUALES
- NORMAS
LO QUE SE HACE
LO QUE SE DEBE HACER
OBJETIVO
CUMPLIR SISTEMÁTICAMENTE
REQUISITOS DEL SISTEMA DE LA
SEGURIDAD DE LA INFORMACIÓN
ESPECIFICADOS
LO QUE SE QUIERE
HACER
• Revisión de la no
• Estandarizar conformidad
los cambios • Determinación de
las causas
• Determinar si
existen no
conformidades
Evaluar la similares
Hacer los
necesidad de
cambios en el
acciones
SGSI
correctiva
Revisar la
eficacia de Implementar
cualquier cualquier
acción acción
correctiva necesaria
tomada
• Asegurarse • Ejecutar los
de que se planes de
eliminaron acción
las causas
© Icontec. Derechos reservados.
Anexo A
Controles de seguridad de la información
Anexo A
Numeral Tema: A5
Descripción Tema: Controles Organizacionales
Numeral Control: A.5.1
Nombre del Control: Políticas de seguridad de la
información
Descripción del Control: La política de seguridad de la
información y las políticas temáticas específicas se deben
definir, aprobar por la dirección, publicadas, comunicadas
y reconocidas por el personal pertinente y las partes
interesadas pertinentes, y revisadas a intervalos
planificados y si se producen cambios significativos.
Tipo de Control
Preventivo: prevenir la ocurrencia de un incidente
de la seguridad de la información
Detectivo: actúa cuando ocurre el incidente
Correctivo: actúan después de que ocurre el
incidente
Conceptos de Ciberseguridad
Identificar
Proteger
Detectar
Responder
Recuperar