¿Qué actividades incluye la fase del Plan para la implementación de ISO 27001? Identificar el alcance del ISMS
Definir el enfoque del tratamiento de riesgo
Desarrollar el análisis de riesgos
Crear el plan de tratamiento de riesgos
Crear el SoA Identificar el alcance del ISMS
Definir el enfoque del tratamiento de riesgo
Desarrollar el análisis de riesgos
Crear el plan de tratamiento de riesgos Identificar el alcance del ISMS
Definir el enfoque del tratamiento de riesgo
Desarrollar el análisis de riesgos Definir el enfoque del tratamiento de riesgo
Desarrollar el análisis de riesgos
Crear el plan de tratamiento de riesgos
Crear el SoA. ¿Cuáles son las 3 partes del alcance pictórico? Nombre de la compañía
Inclusiones (parte del alcance)
Exclusiones (no son parte del alcance) Nombre de la compañía
Activos de información
Localidades Nombre de la compañía
Activos de información
Inclusiones y exclusiones Activos de información
Inclusiones (parte del alcance)
Exclusiones (no son parte del alcance). ¿Qué es una política? En un plan de acción para guiar decisiones y alcanzar objetivos Es una regla Es el desarrollo de los parámetros de ejecución y cumplimiento del ISMS Es el detalle documental de los alcances de cada proceso. ¿Qué es una política de seguridad de la información? Es un documento que establece por escrito el "porqué" y el "cómo" una organización planea proteger sus activos de información e información Es un documento que establece por escrito el "cuando" y el "cómo" una organización planea proteger sus activos de información e información Es un documento que establece por escrito el "porqué" y el "cuando" una organización planea proteger sus activos de información e información Establece la guía de implementación y monitoreo del ISMS. ¿Qué es un procedimiento? Son instrucciones paso a paso del cómo llevar a cabo la política Son manuales a seguir para el cumplimiento de un proceso Es el detalle de una instrucción de trabajo Es equivalente a un proceso. ¿Cuál es el contenido sugerido para la Política primaria o manual del ISMS? Introducción
Justificación de adoptar ISO27001
Establecimiento del alcance
Comité de seguridad de la información
Modelo de implementación del ISMS
Lista de políticas y procedimientos que soporten el ISMS
Frecuencia de revisión de la política
Resumen Establecimiento del alcance
Comité de seguridad de la información
Modelo de implementación del ISMS
Lista de políticas y procedimientos que soporten el ISMS
Frecuencia de revisión de la política
Resumen Introducción
Justificación de adoptar ISO27001
Establecimiento del alcance
Comité de seguridad de la información
Modelo de implementación del ISMS
Lista de políticas y procedimientos que soporten el ISMS
Frecuencia de revisión de la política Introducción
Justificación de adoptar ISO27001
Establecimiento del alcance
Modelo de implementación del ISMS
Lista de políticas y procedimientos que soporten el ISMS
Frecuencia de revisión de la política
Resumen. ¿Qué es un activo (información)? Información de valor que es propiedad y/o utilizada por una organización Son activos fijos de valor para la organización Todo lo que se debe proteger en una organización Son aquellos activos que tienen valor económico en la organización. ¿Qué es una vulnerabilidad? Una debilidad en el activo que puede ser explotada Un agente o evento que puede explotar una vulnerabilidad La consecuencia (daño) que se presentaría cuando la amenaza explota la vulnerabilidad La cantidad de veces posible que una amenaza puede explotar una vulnerabilidad en un periodo de tiempo Impacto final expresado en término matemático. ¿Qué es una amenaza? Una debilidad en el activo que puede ser explotada Un agente o evento que puede explotar una vulnerabilidad La consecuencia (daño) que se presentaría cuando la amenaza explota la vulnerabilidad La cantidad de veces posible que una amenaza puede explotar una vulnerabilidad en un periodo de tiempo Impacto final expresado en término matemático. ¿Qué es el impacto? Una debilidad en el activo que puede ser explotada Un agente o evento que puede explotar una vulnerabilidad La consecuencia (daño) que se presentaría cuando la amenaza explota la vulnerabilidad La cantidad de veces posible que una amenaza puede explotar una vulnerabilidad en un periodo de tiempo Impacto final expresado en término matemático. ¿Qué es un riesgo? Una debilidad en el activo que puede ser explotada Un agente o evento que puede explotar una vulnerabilidad La consecuencia (daño) que se presentaría cuando la amenaza explota la vulnerabilidad La cantidad de veces posible que una amenaza puede explotar una vulnerabilidad en un periodo de tiempo Impacto final expresado en término matemático. ¿Qué es la probabilidad de ocurrencia? Una debilidad en el activo que puede ser explotada Un agente o evento que puede explotar una vulnerabilidad La consecuencia (daño) que se presentaría cuando la amenaza explota la vulnerabilidad La cantidad de veces posible que una amenaza puede explotar una vulnerabilidad en un periodo de tiempo Impacto final expresado en término matemático. ¿Qué conceptos incluye un riesgo? Valor del activo
Probabilidad de ocurrencia
Impacto de que la amenaza explote la vulnerabilidad Probabilidad de ocurrencia
Impacto de que la amenaza explote la vulnerabilidad Valor del activo
Probabilidad de ocurrencia
Impacto de que la amenaza explote la vulnerabilidad
Controles mitigatorios Valor del activo
Probabilidad de ocurrencia. ¿Cuál es el enfoque del análisis de riesgos? Análisis de riesgos basado en activos Detección de todos los activos Análisis de riesgos basado en servicios Detección y mitigación de riesgos. ¿Cuáles son los pasos para ejecutar el análisis de riesgos "basado en activos"? Identificar las funciones de negocio dentro del alcance
Listar e identificar el valor de los activos de cada función de negocio
Identficar las amenazas que pueden afectar cada activo
Identificar las vulnerabilidades que puedan ser explotadas por las amenazas
Identificar el impacto
Identificar la probabilidad de ocurrencia
Calcular el riesgo Identificar las funciones de negocio
Listar e identificar el valor de los activos de cada función de negocio
Identficar las amenazas que pueden afectar cada activo
Identificar las vulnerabilidades que puedan ser explotadas por las amenazas
Identificar el impacto
Identificar la probabilidad de ocurrencia
Calcular el riesgo Identificar las funciones de negocio dentro del alcance
Identficar las amenazas que pueden afectar cada activo
Identificar las vulnerabilidades que puedan ser explotadas por las amenazas
Identificar el impacto
Identificar la probabilidad de ocurrencia
Calcular el riesgo Identificar las funciones de negocio dentro del alcance
Listar e identificar el valor de los activos de cada función de negocio
Identficar las amenazas que pueden afectar cada activo
Identificar las vulnerabilidades que puedan ser explotadas por las amenazas
Identificar la probabilidad de ocurrencia
Calcular el riesgo. ¿Cuáles son los 3 criterios sobre los cuales se valora un activo? Disponibilidad Confidencialidad Integridad Confiabilidad Sustentabilidad Seguridad. Relaciona los cirterios de seguridad con su definición Confidencialidad Disponibilidad Integridad. ¿En qué categorías se pueden dividir las vulnerabilidades? Técnicas Procedurales Humanas Físicas Ambientales Sistema.