ISO27001:2022 (Manual del candidato)

• Global Trust nssociation·

Global Trust nssociation·

de conocimiento y habilidades necesarios en Tecnologías Digitales.

• •..t.• Inmersión Digital •

Inmersión Digital

Transformación Digital, una rea lidad

Sin lugar a dudas la Transformación Digita l forma parte del lenguaje social.

Dentro del ecosistema digital, l as personas son e l p ilar fundamental que soporta e l resto

Empresas, Organ izaciones, Insti t uciones y la Tecnología. descansan sobre el pilar de las personas, por ello "La Transformación Dig ital ún icamen t e es posible a través de las Personas'

• •..t.• Inmersión Digital •

Inmersión Digital

Inmersión Digital d e las p erso nas. l a base de La Transformación Digital de Las empresas.

Po r ello el debate entre si es mejor u n profesional generalista que u n o especializado. o viceversa. encuen tra la respuesta en los profesiona l es TSha p e d .

htt ps://www.imf.org/ external / pubs/ft/fandd/20 20/12/WEF- futu re -of -jobsreport-2 020-zahidi ht m

Inmersión Digital

¿Qué caracteriza a un

• •.&• Inmersión Dig ital •

profesional T-Shaped?

Los profesionales T-Shaped se caracterizan fundamentalmente por

Digital organización.

Como organización necesitas profe sion ales ha bilitados para liderar los cambios necesarios en los múltiples ámbitos en los que tiene impacto la Transformación Digital.

Descubre qué certificaciones te proporcionarán automáticamente un certificado de "Digital lmmersion Leader"

Plan ifi cación y Operación de los riesgos de la seguridad de la inform ación Módulo 04. La seguridad de La información, Las personas y La tecnología aplicada

Soporte de la seg u ridad de la inform ación

Las personas y su re lación con la segur idad de la informacion La t e cnología y su uso en la segu ridad de la i nformación

69 76 76 80 85 90 93

Fundamentos de la Seguridad de la Información Aspectos de La Seguridad de La Información

e ntid ades que Lo originaron.

• Fiabilidad: Propiedad relativa a La co n sist e ncia e n e l comportamiento y en Los r es ultados deseados.

Nota: De finicione s segú n La ISO/ IE C 27000:2019 Tec nología de La inform ació n . T éc ni cas de seg uridad. Sistemas de Ges tión de Seguridad de La Información (SGSD.Visión de co njunto y vocabu lar io.

Fundamentos de la Seguridad de la Información

agrupados como alfabetos (A Z, a z) , dígitos (0-9) o caracteres especia les(+,- , / , · , < , >, = etc..), grabaciones de voz, imágenes.

Fundamentos de la Seguridad de la Información Datos e Información

La información debe clas if ica rse de ac u e rdo co n las n eces idades de seg uridad de l a in fo rm ació n de la o rga ni zació n e n fun ció n d e la co nfi den c ia li dad, l a inte grid a d , la d ispo nibili dad y l os re qui s it os p e rtin e nt es d e l as p artes inte resa d as. (ver 5.12)

Los re qui s it os re lac io nad os co n l a seg urid ad d e la inform aci ó n se deb e n incluir e n l os req ui s itos para Los nuevos sistemas de información o en Las mejoras a Los sistemas de información existentes. (ver 5.8)

Seguridad de La información, Privacidad y Ciberseguridad

¿Qué es La Seguridad de La Información?

segú n ISACA ( ln fo rm ati o n Sys t e m s A u d it a nd Co nt ro l Asso ci ati o n - Asociac ió n de A u d ito rí a y Co ntro l sob re l os Sist e m as d e In fo rm ació n).

Seguridad de La información, Privacidad y Ciberseguridad ¿Qué es La Ciberseguridad?

Pa ra e llo, d ebe co n sid e ra r a qui e n d a rá acceso y a qui e n n o . y s i c u e nta co n Los m eca ni s m os n ecesa ri os p a ra preve nir c u a lqui e r acceso no a utor iza d o a di c ha inform a ci ó n

Seguridad de La información, Privacidad y Ciberseguridad ¿Qué es La Privacidad de La Información? y j seg d e l a inform aci ón d e un a o rga ni zac ió n pa ra a l ca nza r l os obj e ti vos de negocio.

Seguridad de La información, Privacidad y Ciberseguridad

Sistema de gestión de seguridad de La Información y sus Componentes

Fundamentos de la Seguridad de la Información Seguridad de La Información y sus Componentes

Módulo 01

Trust Dssociation'

Explorando la ISO/IEC 27001:2012 e ISO/IEC 27002:2022

Explorando La ISO/IEC 27001:2022

enfoque del sistema de gestión de manera alineada con La estrategia de negocio de La organización.

Explorando la ISO/IEC 27001:2012 e ISO/IEC 27002:2022

Objetivo de ISO 27001:2022

La no rm a t a m b ié n inclu ye "requisitos para La evaluación y el tratamiento de Los riesgos en La seguridad de La información a La medida de Las necesidades de La organización. Los requisitos establecidos en esta Norma Internacional son genéricos y se pretende que sean aplicables a todas Las organizaciones, sin importar su tipo, tamaño o naturaleza"

Las empresas que se certif icaron en la versión de 2013 deben comenzar un proceso de transición hacia 150 / IEC 27 001:2022 . actuali zar su SGSI y superar la auditoria de certificación bajo el nuevo estándar.

Explorando la ISO/IEC 27001:2012 e ISO/IEC 27002:2022

Norma ISO/IEC 27002:2022

• Evaluac ión del impacto de La privacidad

• Punto objetivo de recupe ración (RPO)

• Tiempo objetivo de recuperación (RTO)

• Regla

• Información sensit iva

• Política especifica

Permite integrar de manera mas clara Lo referente a ciberseguridad. privacidad de datos gestión de in cidente s. gestión de La con tinuid ad del negocio y gestión de La evidencia electrón ica

Explorando la ISO/IEC 27001:2012 e ISO/IEC 27002:2022

Norma ISO/IEC 27002:2022

ce rtifi cac ió n e n ISO 27001 (tanto a ni ve l de perso nas como de organ izacio nes).

Se usa la ISO 27001 para crear y definir la es tru c tura de la segur id ad de la inform ació n en l a orga ni zació n (SGSI), se usa la ISO 27002 para impleme ntar y ejecutar controles

Explorando la ISO/IEC 27001:2012 e ISO/IEC 27002:2022

Diferencias entre ISO 27001 e ISO 27002

La organización y el control de su información Comprensión de La Organización y su Contexto

La organización y el control de su información Comprensión de La Organización y su Contexto

Módulo 02

La Seguridad de la Información y su Impacto en las

• Clar id ad sobre Las responsabilidades.

• Que el pensamiento basado en e l riesgo está en e l corazón de toda toma de decisiones: y

• Hay una comunicación clara de est a información a t odas Las personas dentro del alcance del SGS I.

Alcance y su importancia para el entorno de La organización Política de Seguridad de La información

con los requisitos de la norma ISO 27001.

• Se definan los deberes y responsabilidades de los empleados y con respecto a Los riesgos para La seguridad de la información, por ejemplo, la responsabilidad de manejar y procesar a información confidencial de La compañía de manera que se mantenga protegida.

• Se establezca lo que es aceptable o no aceptable con respecto al comporta miento y uso de sus recurso s (por ejemplo, uso aceptable del sistema d e corre o e le ctrónico d e la compañía).

Alcance y su importancia para el entorno de La organización Política de Seguridad de La Información

• Segur id ad de l a red;

• Gestión de incidentes de segur id ad de la información;

• Copia de seguridad;

• Criptografía y gestión de claves;

• Clasificación y manejo de la inform ación;

• Gestión de vulnerabi lid ades técnicas ;

• Desarro llo seg uro.

Alcance y su importancia para el entorno de La organización Organización para La Gestión de La Seguridad de La Información

• EL lnformation Security Officer (ISO) desarrolla l a política de un a unid ad de negocio basada e n l a política de la compañ ía y asegura q ue est a es observada.

• EL lnformation Security Manager (ISM) desarrolla la Política de Segu rid ad de l a Inform ación dentro de la organ ización de TI y aseg ura que sea revisada Ad icion alm e nte a estos rol es que so n or ientados específica m e nte a la seg uri dad de la inform ación. una organ izac ión puede tener un Ofic ial de Política de Segur idad de la In formac ión o un Ofic ial de Protección de Datos.

Alcance y su importancia para el entorno de La organización Organización para La Gestión de La Seguridad de La Información los r equ isitos l egales pertinentes.

• Asegurar que todos lo s accesos a Lo s serv icios de soc ios y proveedores ex terno s están sujetos a Lo s acuerdos y responsabilidades contractuales.

• Actuar como centro de coordinación de todas Las cuestiones de seguridad.

Alcance y su importancia para el entorno de La organización Organización para La Gestión de La Seguridad de La Información

Sin embargo. con la evolución y la importancia que está experimentando la figura del CISO dentro de la estructura empresarial. cada vez se demandan más perfiles con visión empresarial, habilidades comunicativas, de Liderazgo, transversalidad y gran capacidad analítica.

Alcance y su importancia para el entorno de La organización Las Funciones del CISO

• Prevenir, detectar y analizar vu ln erabi lid ades.

• Inform ar y reportar a la alta Dirección sobre cuestiones relacionadas con la ciberseguridad.

• Dar respuesta rápida ante cua lqui er incidente de cibe r segur id ad.

• Formar, conc ienciar y sensib ili zar a La organizació n en materia de seguridad de La información.

Alcance y su importancia para el entorno de La organización

Otros Roles de Seguridad de La Información

Módulo 02

La Seguridad de la información y su impacto en las

• Definir roles y responsabilidades dentro de l a Organización como base para evaluar l os riesgos y permitir mantener la operación. la cont inui dad y la disponibilidad de los servicios

• Definir procedimientos de reporte y escalamiento (respuesta) formales ante un in cidente de seguridad de l a información.

Gestión de Incidentes de Seguridad de La Información Incidentes y Desastres en Seguridad de La Información

Gestión de Incidentes de Seguridad de La Información

Gestión de Incidentes de Seguridad de La Información

• ¿Cuá l es e l efecto del incidente?

• ¿Cómo se descubrió?

Y. si es posible. l as sigu ientes áreas:

• Tipo de sistema (escritorio. impresora, servid o r serv idor de correo etc.)

• N úmero de Sistema/nombre de l sistema (s i está p rese nte).

• ¿Qu ié n m ás est aba informado ?

Gestión de Incidentes de Seguridad de La Información Consecuencias de No Reportar Incidentes

querer ser visto como un delator. EL proceso también debe asegura rse de que La persona que informa de un incidente de segur idad de l a información es informado de lo s resultados después de que ha sido tratado.

Módulo 02

La Seguridad de la información y su impacto en las

s us prop ias d irectri ces , basadas e n l a gesti ó n de ri esgos de seg uri dad de la in for m ació n Pr ior iza e l e nfoq ue y p ro t ecció n de l os acti vos d e in fo rm ació n Se b asa e n l a res ile ncia, p ro t ecció n, d e f e n sa y g es ti ó n

Gestión e importancia de controles en el entorno de La organización Controles de Organización de Las TIC NUEVO

5.22 : Monitoreo, revisión y gestión de cambios de Los servicios de Los proveedores - CAMBIOS

5.23 : Seguridad de La información para el uso de servicios en La nubeNUEVO

5.24 : Planificación y preparación de La gestión de incidentes de seguridad de La información - CAMBIOS

ISO/IEC 27002 Specification

Gestión e importancia de controles en el entorno de La organización Cumplimiento de Requisitos Legales

carácter Personal

Deber garantizarse La protección y La privacidad de Los datos, según se requiera en La Legislación y La reg Lamentación aplicables.

Gestión e importancia de controles en el entorno de La organización Cumplimiento de Requisitos Legales cualquier otro r eq ui sito d e seg urid ad ap li cab l e. Debe comprobarse periódicamente que lo s s ist e m as de información cumplen la s políticas y norma s de seguridad de la información de la org anización

Gestión e importancia de controles en el entorno de La organización

Motivar el cumplimiento favorece a La organización

ley Código y Código Penal para que sea más fácil tratar con Los delitos cometidos a través de la tecnología de información avanzada. Un ejemplo de un nuevo delito es La piratería informática.

• Ley de Información del Gobierno de Acceso Público.

• Regula la in spección de documentos escri to s gubernamentales Lo s datos personales no son un documento gubernamental.

Gestión e importancia de controles en el entorno de La organización

Regulaciones de Seguridad de La Información (ejemplos)

• Habitaciones con temperatura controlada para almacenamiento de registros en papel.

• Una política de destrucción de registros. Medidas que involucran la protección de información personal:

• Derechos de Acceso apropiados

por gerencia. Verificac ión de Cumplimiento Técnico: • Revisión de Vu ln erabilidades.

Gestión e importancia de controles en el entorno de La organización Continuidad de La Seguridad de La Información

Para organizar lo s métodos y procedimientos para l as f a llas que duran un período de ti e mpo m ás l argo. Coordinar un a ubicac ión a lt e rn ativa donde e l trab ajo se puede rea li za r mi e ntras se r eco nst ru ye la ubi cac ió n original. Todo se ce ntra e n mantener la e mpresa e n funcionamiento, a unqu e só lo sea p arci alm e nte , desde e l momento de la ca t ástrofe se produce hasta que la compañ ía se h a rec up e rado t ota lm e nte.

ISO/IEC 27002

Gestión e importancia de controles en el entorno de La organización Continuidad de La Seguridad de La Información

Obtener Ganancias o Evitar Pérdidas. Librarse de Daño a La Imagen o Publicidad Negativa.

Gestión e importancia de controles en el entorno de La organización Controles de Seguridad Física

cables de poder que se encuentran paralelos a estos. El borrado seguro de información confidencial en medios de almacenamiento cuando una persona deja la organización.

Gestión e importancia de controles en el entorno de La organización Controles de Seguridad Física espac trabajo.

• El objeto (protege a l act ivo).

Definiciones, Conceptos e Identificación de Riesgos y Amenazas Definición de Riesgo

robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas , no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.

Definiciones, Conceptos e Identificación de Riesgos y Amenazas Tipos y Fuentes de Amenazas

confidencialidad de La misma, por Lo que es necesario encontrar las y elim in arlas Lo antes posible. Estos «agujeros» pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.

Definiciones, Conceptos e Identificación de Riesgos y Amenazas

Expectativa de Pérdida Anual (ALE):

A LE es un a fó rmul a qu e multipli ca e l va l o r d e un eve nto d isc r et o d e pé rdid a (expectativa de pérdida individual o SLE) po r su expectativa anual de ocurrencia {ARO) . es d ec ir , La pé rdid a m o n e t a ri a d e un acti v o debi do a La m ate ri ali zació n de un a o m ás am e nazas e n un per io d o d e un a ño . Se defi ne a t ravés de La sig ui e nte fór m u la: ALE = SLE x ARO.

Correspondencia entre

la Seguridad de la Información y la Gestión de Riesgos

Otros Conceptos de Riesgo

organización estén diseñados, dirigidos y tengan recursos para gestionar inh eren t emente esos riesgos; y

• Responder y se adaptarse automáticamente a los cambios para hacer frente a lo s nuevos riesgos y reducir continuamente l a exposición a lo s mismos

• Tener un plan de acc ión detallado que esté alineado, actua li zado y respaldado por revisiones y contro l es regulares es crucial y proporciona evidencia para el auditor de una planificación del sistema claramente definida

Correspondencia entre la Seguridad de la Información y la Gestión de Riesgos

La Seguridad de La Información y La Gestión de Riesgos

Módulo 03

ISO/ IE C 27001:2022 (cons id erando lo solic it ado en su cláusula 10) y adopta una terminología común a la ISO 31000 :2018 Risk Management- Guidelines Permite incluir y realizar act ividades de gestión de riesgos de seguridad de la inform ació n , específicamen t e sobre su eva lu ación y tratamiento

Relación con ISO 31000: 2018 e ISO/IEC 27005:2022

Comparativa y formas de USO

• Input: Ide nt ifi ca cualq u ier in formación requerida para realizar la actividad.

• Acción : Desc ribe la a cti vidad

• Disparador: Proporciona orientación sobre cuándo in iciar la acti vidad por ejemplo, debido a un cambio dentro de la o r ganización o de acuer do co n u n plan o u n cambio en el contexto externo de la organización

• Ouput: Identifica cualqu ier información deri vada después de rea li zar la acti vidad. así como l os crite rios que dicha sa l ida debe satisfacer.

• Orientación: Brinda o rientación sobre la realización de la actividad, palabra clave y concepto clave

Relación con ISO 31000: 2018 e ISO/IEC 27005:2022 Comparativa y formas de USO

Módulo 03

históricos, aná li s is teóricos, op ini ones in formadas y de expertos , y las necesidades de l os interesados.

Planificación y Operación de Los riesgos de La seguridad de La información

Identificación de Riesgo eva lu ac ió n, tratamiento, segu imi ento y revisión de ri esgos.

ISO / IEC 27005 utiliza el término "proceso" para describir la gestión de riesgos en general. Lo s e l eme nto s dentro del proceso de gestión de riesgos se conocen como ·actividades"

Planificación y Operación de Los riesgos de La seguridad de La información

Análisis de Riesgo

Determinar un balance entre los costos de un Incidente y los costos de una Medida o Control de Seguridad .

Planificación y Operación de Los riesgos de La seguridad de La información

Objetivo del Análisis de Riesgo

Seguridad de La Inform ación. a l igual que e l Va lor de La propiedad por sí misma. incluyendo instalaciones. hardware. software. información e impacto e n e l negocio Los plazos de tiempo antes que una amenaza se manifieste, La efectividad de Las Medidas de Seguridad de La Información y e l Riesgo que una Vulnerabilidad sea explotada también son elementos a ser considerados . Un Aná li sis de Riesgos puramente cuan tita ti vo es prácti camente imposib l e

Planificación y Operación de Los riesgos de La seguridad de La información Tipos de Análisis de Riesgo

Planificación y Operación de Los riesgos de La seguridad de La información

Tratamiento del Riesgo

Tratamiento del riesgo

Planificación y Operación de Los riesgos de La seguridad de La información Tratamiento del Riesgo

Soporte de La seguridad de La información Recursos y Comunicación

competencia n ecesar ia y eva lu ar l a efecti v id ad de l as acc ion es tom adas: y • Conservar l a inform ació n documentada aprop iada como evide nci a de competencia.

NOTA Las acciones ap li ca bles pueden incluir, por ej e mplo : la provisión de capac itac ión, tutoría o reasignación de emp l eados actu al es: o la co nt ra t ación o contratación de personas competentes.

ISO/IEC 27002

Soporte de La seguridad de La información Conciencia

seguridad de La inform ación.

• Llevar un con trol de cambios, ac tu a li zar, identificar y describir adecuadamen te tod a la documentación asociada a l sistem a de gestión de l a segu rid ad de la informa ción.

Módulo 04

La Seguridad de La Información, Las Personas y La

proporcionales a los requisitos comerc iales, l a clasificación de l a inform ación a la que se accederá y l a riesgos percibidos

6.2: Términos y condiciones de empleo

• Los acuerdos contractua les de trabajo deberán expresar el personal y responsabilidades de la organización para l a segur idad de la información

Las personas y su relación con La seguridad de La informacion Controles asociados a Personas

empleo

• Los acuerdos de confidencialidad o no divulgación que reflejen las necesidades de la organización para la protección de La información deben ser identificados, documentados, revisados regularmente y firmados por el personal y otras partes interesadas relevantes.

6.6 : Acuerdos de confidencialidad o no divulgación

Las personas y su relación con La seguridad de La informacion Controles asociados a Personas

posiciones.

Para un a posición que implic a La confid encialidad, esta confid enc ialidad puede ser observada incluso después de que termine e l emp l eo. EL gerente es responsable de documentar Las reglas especiales para puestos espec ífi cos. En todos Los casos. todo el personal con una posición que impli ca La confidencialidad debe firmar un acuerdo de confidencialidad o acuerdo de no divulgación (NDA).

T ambién es genera lm ente el caso de que este personal tienen que presentar un certificado conducta o de acuerdo a una ver ifi cac ión de antecedentes.

Las personas y su relación con La seguridad de La informacion Código de Conducta

• NOTA Es posible que no se puedan ap li car todas Las recomendaciones de esta guía debido a La Legislación y Las reglamentaciones Locales de Las distintas jurisdicciones

Las organizaciones que permiten act ividades de tr abajo a distancia deben em itir una política específica sobre e l t ema del trabajo a distancia que defina Las cond iciones y restricciones pertinentes

Las personas y su relación con La seguridad de La informacion Sobre La educación, concienciación y entrenamiento

La tecnología y su uso en La seguridad de La información Recomendaciones sobre Los controles tecnológicos

Se debe requerir a Los usuarios que sig an Las prácticas de La organización en e l uso de La información secreta de autent ic ación.

Se debe restringir el acceso a La inform ación y a Las funciones de Las aplicaciones, de acue rdo con La política de con trol de acceso definida

La tecnología y su uso en La seguridad de La información Recomendaciones sobre Los controles tecnológicos

Módulo 04

La Seguridad de La Información, Las Personas y La

deben producir resultados comparables y reproducibles para que se consideren vá lid os;

• cuándo se realizará el seguimiento y la medición ;

• qu ién d e b e rá monitorea r y m e dir;

• cuándo se analizarán y eva luarán lo s r esu ltados del segu imi ento y la m e dición;

• quién an ali za rá y eva lu ará estos resultados. 150/IEC 27002

Gestión, Evaluación y Mejora continua Evaluación del Desempeño

auditorias, resultados de mediciones y monitoreo, acciones correctivas y no conformidades. entre otros)

• Evidenciar resultados de la revisión de la dirección (informes , acuerdos, cambios aprobados , entre otros)

Gestión, Evaluación y Mejora continua Mejora Continua

• Idiomas disponibles : In glés, Español

• Requisitos: No

• Tipos de Supervisión disponible: Li ve Proctoring, Believe Proctoring

• 20 Segunda oportunidad (gratuita): Si

• Mínimo aprobatorio 2 0 Segunda oportunidad: 70 %