Please enable JavaScript.

Coggle requires JavaScript to display documents.

ISO 27001 - Coggle Diagram

- - - - Evidencia Registros, declaraciones de hechor o cualquier otra informacion que son obligatorios para los criterios de auditoria y que son verificables
      - Cliente: Organizacion o persona que solicita una auditoria
      - Programa de Auditoria : Conjuto de una o mas auditorias de tiempo determinado y dirigidas hacia un proposito especifico
      - Alcance : Extension de limites de una auditoria el alcance de la auditoria incluye generalmente una descripcion de las ubicaciones las unidades de la organizacon, las actividades y los procesos asi, como el periodo de tiempo cubierto
      - CONCLUSIONES: Resultado de una auditoria tras considerar los objetivos de la auditoria y todos los hallazgos de a auditoria
      - HALLAZGOS : Resultados de la evaluacion de la evidencia de la auditoria recopilada frende a los criterios de auditoria
  - - - Fases de una auditoria
        
        Fases de una Auditoría
        
        1) Preparación de la auditoria
        
        2) Plan de auditoria - Lista de Verificación
        
        3) Reunión de apertura
        
        4) Identificación de riesgos
        
        5) Ejecución(Trabajo de campo)
        
        6) Presentación Hallazgos
        
        7) Emisión informe borrador
        
        8) Solicitud de planes de acción
        
        9) Emisión de informe oficial
        
        10) Seguimiento planes de acción
  - - - Conformidad - Cumplimiento
        
        No Conformidad - Incumplimiento
        
        Incumplimientos más comunes
        
        -documentación no encontrada
        
        -competencias de recurso humano no evaluado
        
        -controles implementados adecuadamente
        
        -no conformidades por auditorias internas sin cierre eficaz
        
        -acciones correctivas sin revisión de la dirección
        
        -deficiencia en metodología de análisis de riesgos
        
        -incumplimiento de procedimientos
        
        Reporte de no conformidades
        
        La evidencia: Lista de hallazgos, respaldos con evidencia objetiva o atestiguada por el auditor
        
        La referencia: Al requisito de la norma y/o manual de calidad o procedimiento. Un requisito a la vez, el que mas aplica.
        
        La Conclusión: Genérica, breve, precisa y aceptada por el auditado.
- - - - Respuesta a:
      - Inventario de activos de información
      - De acuerdo a la confidencialidad
      - ° Altamente confidencial (Su divulgación genera gran riesgo para la compañía)
      - ° Confidencial ( Es perjudicial que caiga en manos equivocadas)
      - ° Pública ( Cualquier individuos puede tener acceso)
      - ° No clasificada (tratarla como altamente confidencial)
      - De acuerdo a la integridad
      - ° Alta (su perdida o modificación genera gran impacto en la compañía)
      - ° Media (Si se cambia algún dato el daño es moderado)
      - ° Baja (Su modificación no genera ningún riesgo)
      - ° No clasificada (darle criterio de alta)
      - De acuerdo a la Disponibilidad
      - ° Alta (de no estar en el momento requerido, puede perjudicar la imagen de la compañía)
      - ° Media ( Su no disponibilidad es de impacto moderado )
      - ° Baja ( Genera un impacto leve)
  - - - Mitigar: Implementar controles
      - Transferir: Cederlo a un tercero (polizas de seguro)
      - Aceptar: No hacer nada
      - Evitar: Dejar de hacer la actividad
      - El dueño del Riesgo
        
        Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo
  - - - Manual: El uso de TI es nulo o bajo siendo alta la participacion del personal
      - Semiautomatico: Inicialmente dependientes de un proceso automatico pero desarrollado manualmente en su parte final y clave
      - Automatico La operación esta basada en tecnologias de información sistemas
- - - - Contexto de la organización
      - La organización debe determinar las cuestiones externas e internas que son importantes para su propósito y que afectan su capacidad para lograr los resultados provistos de sus sistemas de gestión de la seguridad de la información.
      - Comprensión de la organización y de su Contexto
      - Tener muy claro como mi SGSI apoya a la organización en otras palabras observar la empresa y su entorno antes de plantear sugerencias
      - Comprensión de las necesidades y expectativas de las partes interesadas
      - ¿Que esperan de resultado?
      - ¿Como satisfago sus necesidades?
      - Determinación del alcance del SGSI
      - Cual es el alcance, que voy a cubrir, se recomienda poner fases y se integren como un todo
      - SGSI
      - es el resultado del trabajo
      - Liderazgo
      - La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la información
      - Lidezargo y compromiso
      - Siempre al pie del cañón
      - Política
      - se define por el encargado de SI pero difundida por la alta dirección
      - Roles, Responsabilidades y Autoridades en la organización
      - debe de quedar claro quien es el oficial de seguridad de la información, la cabeza de seguridad y personas involucradas
      - Planificación
      - Al planificar la organización debe asegurar que el SGSI pueda conseguir sus resultados previstos y lograr la mejora continua.
      - Acciones para tratar los riesgos y oportunidades
      - Identificar las cosas que posible mente genere No conformidades y garantizar oportunidades de mejora (mitigando riesgo y que las oportunidades fluyan de mejor manera)
      - Objetivos de seguridad de la información y planificación para su consecución
      - Planificar que los objetivos de control se cumplan ej. siclos de vida de usuarios
  - - - Composición del Anexo A
      - Políticas de Seguridad de la Información: hace referencia a los controles sobre cómo escribir y revisar políticas de seguridad.
      - Organización de la Seguridad de la información: los controles se encargan de establecer responsables. Al mismo tiempo también se centra en dispositivos móviles y situaciones como la de teletrabajo.
      - Seguridad de los Recursos Humanos: controles para las situaciones previas y posteriores referentes a la contratación y finalización de contrato de personal.
      - Gestión de Recursos: establecidos para realizar inventario, clasificación de información y manejo de los medios de almacenamiento.
      - Control de Acceso: control del acceso tanto a la información como a aplicaciones u otro medio que contenga información.
      - Criptografía: controles para gestionar encriptación de información.
      - Seguridad física y ambiental: controles para garantizar factores externos, seguridad de equipo y medios que puedan comprometer la seguridad.
      - Seguridad Operacional: controles relacionados con gestión de la protección de malware o vulnerabilidades.
      - Seguridad de las comunicaciones: Control sobre la seguridad de las redes, transmisión de información, mensajería…
      - Adquisición, desarrollo y mantenimiento de Sistemas: controles que establecen los requisitos de seguridad en desarrollo y soporte.
      - Relaciones con los proveedores: incluye lo necesario a la hora de realizar contratos y seguimiento a proveedores.
      - Gestión de Incidentes en Seguridad de la Información: sirven para reportar eventos las debilidades, así como procedimientos de respuesta.
      - Aspectos de Seguridad de la Información de la Gestión de la Continuidad del Negocio: referidos a la planificación de continuidad de negocio.
      - Cumplimiento: control relacionado a la hora de identificar regulaciones relacionadas con seguridad de la información y hacer que se cumplan.
- - - - Establecer
      - Definir políticas y normas
      - Implementar
      - Empezar a gestionar todo y comprar recursos tecnológicos
      - Operar
      - Mantener dentro del proceso y garantizando que se cumplan las directrices
      - Monitorizar
      - Verificar continuamente
      - Revisar
      - Mirar indicadores en caso de no cumplir ajustar políticas
      - Mantener
      - Esto es un proceso continuo que debe ajustarse en el día a día de la empresa
      - Mejorar
      - Actualizar frecuentemente
      - Factores críticos
      - Que la política,los objetivos y actividades de seguridad de la información estén alineados con los objetivos de la organización.
      - Apoyo visible de todos los niveles de organización, en especial de dirección.
      - Programa efectivo de concienciación, formación y educación sobre seguridad de la información.
      - Un proceso eficaz de gestión de incidentes SI.
      - Un enfoque efectivo de GCN (gestión de continuidad de negocio).
      - Un sistema de medición utilizado para evaluar el desempeño en gestión de la SI y para proporcionar la mejora continua.
      - Beneficios SGSI
      - Aumentar la confianza en la organización por las partes interesadas
      - Una gestión desde un punto de vista económico de las invenciones en SI
      - Ayuda para la alta dirección en la alineación de si enfoque hacia la gestión de la SI,con el contexto de la gestión y gobierno del riesgo corporativo.