Implantación de la Norma ISO 27001

Unidad 1: Estructura y bases de la Norma ISO 27001 I

1. Estructura y bases de la Norma ISO 27001 I
2. Mapa conceptual
3. ¿Qué es un SGSI?
4. Beneficios de implementar un SGSI
5. Componentes clave de un SGSI
6. ¿Qué es la ISO 27001?
7. Razón de ser de la norma
8. ¿Para qué sirve la ISO 27001?
9. Alcance y aplicabilidad
10. Enfoque basado en riesgos y mejora continua
11. Certificación ISO 27001
12. Estructura de la Norma ISO 27001
13. Objeto y campo de aplicación (Cláusula 1)
14. Referencias normativas (Cláusula 2)
15. Términos y definiciones (Cláusula 3)
16. Contexto de la organización (Cláusula 4)
17. Liderazgo (Cláusula 5)
18. Planificación (Cláusula 6)
19. Soporte (Cláusula 7)
20. Operación (Cláusula 8)
21. Evaluación del desempeño (Cláusula 9)
22. Mejora (Cláusula 10)
23. Anexo A: Controles de seguridad
24. ¿Qué es la ISO 27002?
25. Relación entre la ISO 27001 y la ISO 27002
26. Estructura de la ISO 27002 (versión 2022)
27. Importancia de la ISO 27002 en la implantación de la ISO 27001
28. Resumen

Unidad 2: Estructura y bases de la Norma ISO 27001 II

1. Estructura y bases de la Norma ISO 27001 II
2. Mapa conceptual
3. Contexto de la organización
4. Comprensión de la organización y de su contexto
5. Comprensión de las necesidades y expectativas de las partes interesadas
6. Determinación del alcance del SGSI
7. Sistema de gestión de seguridad de la información
8. Liderazgo
9. Liderazgo y compromiso
10. Política
11. Roles, responsabilidades y autoridades de la organización
12. Planificación
13. Acciones para tratar los riesgos y oportunidades
14. Objetivos de seguridad
15. Resumen

Unidad 3: Estructura y bases de la Norma ISO 27001 III

1. Estructura y bases de la Norma ISO 27001 III
2. Mapa conceptual
3. Soporte
4. Recursos
5. Competencia
6. Concienciación
7. Comunicación
8. Información documentada
9. Operación
10. Planificación y control operacional
11. Apreciación de los riesgos de seguridad de información
12. Tratamiento de los riesgos de seguridad de información
13. Resumen

Unidad 4: Estructura y bases de la Norma ISO 27001 IV

1. Contenido
2. Estructura y bases de la Norma ISO 27001 IV
3. Mapa conceptual
4. Evaluación del desempeño
5. Seguimiento, medición, análisis y evaluación
6. Auditoría interna
7. Revisión por la dirección
8. Mejora continua
9. No conformidad y acciones correctivas
10. Mejora continua
11. Ciclo PDCA (Planificar-Hacer-Verificar-Actuar)
12. Indicadores de mejora
13. Cultura de mejora continua
14. Resumen

Unidad 5: Estructura y bases de la Norma ISO 27001 V

1. Contenido
2. Estructura y bases de la Norma ISO 27001 V
3. Mapa conceptual
4. ISO 27002
5. Relación entre la ISO 27001 y la ISO 27002
6. Estructura de la ISO 27002 (versión 2022)
7. Importancia de la ISO 27002 en la implantación de la ISO 27001
8. Controles de organización
9. Políticas de seguridad de la información (A.5.1)
10. Roles y responsabilidades de seguridad de la información (A.5.2)
11. Segregación de funciones (A.5.3)
12. Gestión de proveedores (A.5.4)
13. Gestión de incidentes de seguridad de la información (A.5.5)
14. Controles de personas
15. Concienciación y formación en seguridad de la información (A.6.1):
16. Políticas de uso aceptable (A.6.2)
17. Gestión de acceso de usuarios (A.6.3)
18. Gestión de incidentes relacionados con personas (A.6.4)
19. Responsabilidades de los empleados después de la terminación o
20. cambio de rol (A.6.5)
21. Controles Físicos
22. Seguridad perimetral (A.7.1)
23. Controles de acceso físico (A.7.2)
24. Protección contra desastres naturales y ambientales (A.7.3)
25. Seguridad en áreas de trabajo (A.7.4)
26. Protección de equipos (A.7.5)
27. Controles tecnológicos
28. Controles de acceso lógico (A.8.1)
29. Cifrado de datos (A.8.2)
30. Gestión de vulnerabilidades (A.8.3)
31. Protección contra malware (A.8.4)
32. Copias de seguridad (A.8.5)
33. Registro y monitorización (A.8.6)
34. Resumen

Unidad 6: Funcionamiento de la norma

1. Funcionamiento de la norma
2. Mapa conceptual
3. Ciclo de Mejora Continua (PDCA)
   1. PLAN (Planificar)
   2. DO (Hacer)
   3. CHECK (Verificar)
   4. ACT (Actuar)
   5. Ejemplo práctico del PDCA
   6. Beneficios del enfoque PDCA
4. Roles y responsabilidades en un SGSI
   1. La alta dirección
   2. Responsable del SGSI (CISO o equivalente)
   3. Comité de Seguridad de la Información
   4. Propietarios de activos de información
   5. Administradores de sistemas y responsables técnicos
   6. Responsables de procesos o áreas de negocio
   7. Usuarios finales
5. Evaluación y tratamiento del riesgo
6. Documentos clave relacionados
7. Ejemplo práctico simplificado
8. Controles de seguridad del Anexo A
9. Estructura del Anexo A
10. Controles temáticos
11. Declaración de aplicabilidad (SoA)
12. Beneficios de un enfoque estructurado de controles
13. Documentación requerida
14. Tipos de información documentada
15. Información documentada obligatoria
16. Documentación recomendable o habitual
17. Gestión de la documentación
18. Ejemplo de estructura documental típica del SGSI
19. Auditoría y revisión
20. Auditoría interna
21. Requisitos de la norma
22. Ciclo típico de auditoría interna
23. Revisión por la dirección
24. Contenidos mínimos de la revisión
25. Resultados esperados
26. Mejora continua y gestión de incidentes
27. Mejora continua
28. Requisitos normativos
29. Proceso típico de mejora
30. Gestión de incidentes de seguridad
31. Información documentada recomendada
32. Resumen

Unidad 7: Ámbitos de intervención

1. Ámbitos de intervención
2. Mapa conceptual
3. Ámbitos funcionales dentro de la organización
4. Principales áreas funcionales y cómo interviene ISO/IEC 27001
5. Importancia de la coordinación interdepartamental
6. Ámbitos organizativos y estratégicos
7. Nivel estratégico: Liderazgo y alineación con los objetivos organizacionales
8. Alineación con los objetivos del negocio
9. Responsabilidad y roles en la gestión del SGSI
10. Nivel táctico: Implementación de controles y estrategias operativas
11. Revisión y mejora continua del SGSI: Asegurando la sostenibilidad
12. Ámbitos tecnológicos
13. Ámbito de infraestructuras tecnológicas
14. Ámbito de seguridad en redes y comunicaciones
15. Ámbito de plataformas tecnológicas y aplicaciones
16. Ámbito de dispositivos móviles y BYOD (Bring Your Own Device)
17. Ámbito de tecnologías emergentes
18. Ámbito de la continuidad tecnológica
19. Ámbitos de protección de activos
20. ¿Qué son los activos de información?
21. Identificación y clasificación de los activos de información
22. Protección de activos de información
23. Responsabilidades y roles en la protección de activos
24. Protección de activos a lo largo del ciclo de vida
25. Monitoreo y auditoría de activos
26. Ámbitos externos: partes interesadas y terceros
27. Partes interesadas externas
28. Gestión de la seguridad de la información con partes interesadas externas
29. Gestión de terceros proveedores
30. Evaluación de riesgos relacionados con terceros
31. Cumplimiento normativo y auditoría de terceros
32. Ámbitos físicos y geográficos
33. Protección física de los activos de información
34. Ubicación geográfica y riesgos asociados
35. Protección del perímetro físico y controles de seguridad perimetral
36. Diseño de instalaciones seguras
37. Ámbitos temporales: ciclo de vida de la información
38. Fases del ciclo de vida de la información
39. Controles de seguridad a lo largo del ciclo de vida de la información
40. Mejores prácticas para la gestión del ciclo de vida de la información
41. Resumen

Unidad 8: Proceso de implantación I

1. Proceso de implantación I
2. Mapa conceptual
3. ¿Qué necesitamos?
4. Compromiso de la alta dirección
5. Recursos humanos y financieros
6. Conocimiento de la norma
7. Herramientas y tecnología
8. Documentación inicial
9. Apoyo de una consultora externa
10. Tiempo necesario para la implementación
11. Fases
12. Preparación y planificación
13. Diseño e implementación
14. Operación y mantenimiento
15. Evaluación y mejora continua
16. Certificación inicial
17. Alcance del SGSI
18. Importancia del alcance del SGSI
19. Cómo definir el alcance del SGSI
20. Revisión y actualización del alcance
21. Objetivos globales del SGSI
22. Documentación requerida como evidencia
23. Revisión y actualización de los objetivos
24. Roles
25. Roles clave en el SGSI
26. Cómo definir y asignar roles
27. Documentación requerida como evidencia
28. Revisión y actualización de roles
29. Resumen

Unidad 9: Proceso de implantación II

1. Proceso de implantación II
2. Mapa conceptual
3. Política de seguridad de la información
4. ¿Para qué sirve la Política de Seguridad de la Información?
5. Comunicación de la Política de Seguridad de la Información
6. Estructura de la Política de Seguridad de la Información
7. Propósito
8. Alcance
9. Objetivos de Seguridad de la Información
10. Compromisos de la Alta Dirección
11. Responsabilidades
12. Principios de Seguridad
13. Controles de Seguridad
14. Revisión y Actualización
15. Firma
16. Ejemplo completo
17. Propósito
18. Alcance
19. Objetivos de seguridad de la información
20. Compromisos de la alta dirección
21. Responsabilidades
22. Principios de seguridad de la información
23. Controles de seguridad
24. Revisión y actualización
25. Resumen

Unidad 10: Proceso de implantación III

1. Proceso de implantación III
2. Mapa conceptual
3. Comprensión de la Organización y su Contexto
4. Análisis PESTEL
5. Análisis DAFO
6. Comprensión de las Necesidades y Expectativas de las Partes
7. Interesadas
8. Análisis Riesgos y Oportunidades
9. Ejemplo de Contexto
   1. Análisis del Contexto
      1. Factores Externos (PESTEL)
      2. Factores Internos (DAFO)
   2. Partes Interesadas y Requisitos
      1. Matriz de Partes Interesadas
   3. Riesgos y Oportunidades Vinculados
      1. Matriz de Riesgos
      2. Matriz de Oportunidades
   4. Alcance del SGSI
      1. Límites del SGSI
      2. Exclusiones justificadas
10. Aprobaciones
11. Liderazgo
12. Compromiso de la Alta Dirección
13. Comunicación de la Importancia del SGSI
14. Revisión del Desempeño del SGSI
15. Errores Comunes y Cómo Evitarlos
16. Resumen

Unidad 11: Proceso de implantación IV

1. Proceso de implantación IV
2. Mapa conceptual
3. Introducción
4. Activos
5. Dimensiones de la información
6. Amenazas y vulnerabilidades
7. Análisis de riesgos
8. Resumen

Unidad 12: Proceso de implantación V

1. Proceso de implantación V
2. Mapa conceptual
3. Gestión del riesgo
4. Objetivos de la Gestión del Riesgo
5. Pasos para Gestionar el Riesgo
6. Estrategias para Tratar el Riesgo
7. Documentación Requerida
8. Mejora Continua en la Gestión del Riesgo
9. Errores Comunes y Soluciones
10. Ejemplos múltiples
11. Competencias del responsable de un SGSI
12. Conocimiento Profundo de la Norma ISO 27001 y Marco Legal
13. Habilidades en Gestión de Riesgos
14. Liderazgo y Gestión de Equipos
15. Competencias Técnicas en Seguridad de la Información
16. Habilidades Comunicativas y de Negociación
17. Gestión de Proyectos y Metodologías Ágiles
18. Ética y Confidencialidad
19. Capacidad de Adaptación y Mejora Continua
20. Concienciación y formación del personal
21. Importancia de la Concienciación y Formación
22. Diseño del Programa de Concienciación y Formación
23. Medición de la Efectividad
24. Casos de Éxito y Mejora Continua
25. Retos Comunes y Soluciones
26. Ejemplos de programas por sectores
27. Resumen

Unidad 13: Proceso de implantación VI

1. Contenido
2. Proceso de implantación VI
3. Mapa conceptual
4. Procesos
5. Teoría de Procesos en el Marco de ISO 27001
6. Identificación y Definición de Procesos del SGSI
7. Elementos Clave de un Proceso
8. Integración con Otros Procesos Organizacionales
9. Mejora Continua de los Procesos
10. Ejemplos de Procesos del SGSI y su Implementación
11. Indicadores
12. Importancia de la Medición del Desempeño
13. Diseño de Indicadores Clave de Desempeño (KPIs)
14. Métodos de Recolección de Datos
15. Evaluación de la Eficacia de los Indicadores
16. Cuadros de Mando Integrales (Dashboards)
17. Gestión de Desviaciones y Acciones Correctivas
18. Retos Comunes y Soluciones
19. Casos Prácticos por Sector
20. Resumen

Unidad 14: Proceso de implantación VII

1. Proceso de implantación VII
2. Mapa conceptual
3. Implantación de controles de la ISO 27002
4. Relación entre ISO 27001 e ISO 27002
5. Estructura de la ISO 27002:2022
6. Cómo Utilizar la ISO 27002 en la Práctica
7. Controles de organización
   1. Controles Clave y Ejemplos Prácticos
   2. Control 5.1: Políticas para la Seguridad de la Información
   3. Control 5.3: Evaluación de Riesgos
   4. Control 5.9: Inventario de Activos de Información
   5. Control 5.7: Inteligencia de Amenazas
   6. Control 5.20: Gestión de Servicios Tercerizados
   7. Control 5.35: Cumplimiento Legal y Contractual
   8. Control 5.23: Seguridad en Servicios en la Nube
   9. Pasos para Implementar Controles Organizacionales
   10. Retos Comunes y Soluciones
   11. Caso integral
8. Controles de personas
   1. Controles Clave y Ejemplos Prácticos
   2. Control 6.2: Condiciones Laborales y Seguridad
   3. Control 6.3: Concienciación sobre Seguridad de la Información
   4. Control 6.4: Responsabilidades después del Cese o Cambio Laboral
   5. Control 6.5: Confidencialidad en Acuerdos Laborales
   6. Control 6.6: Uso Aceptable de Activos de Información
   7. Control 6.7: Denuncias de Incidentes de Seguridad
   8. Control 6.8: Entrenamiento Específico para Roles
   9. Pasos para Implementar Controles Relacionados con las Personas
   10. Retos Comunes y Soluciones
   11. Caso integral
9. Controles Físicos
   1. Controles Clave y Ejemplos Prácticos
   2. Control 7.1: Perímetros Físicos de Seguridad
   3. Control 7.2: Controles de Entrada Física
   4. Control 7.4: Protección contra Amenazas Físicas y del Entorno
   5. Control 7.5: Seguridad en Áreas de Trabajo
   6. Control 7.10: Mantenimiento de Equipos
   7. Control 7.12: Almacenamiento Seguro de Medios
   8. Control 7.14: Equipos Fuera de las Instalaciones
   9. Pasos para Implementar Controles Físicos
   10. Retos Comunes y Soluciones
   11. Caso integral
10. Controles tecnológicos
    1. Controles Clave y Ejemplos Prácticos
    2. Control 8.8: Gestión de Vulnerabilidades Técnicas
    3. Control 8.9: Seguridad en Servicios en la Nube
    4. Control 8.25: Seguridad en el Ciclo de Vida del Desarrollo
    5. Control 8.28: Protección contra Fugas de Información
    6. Control 8.24: Uso de Criptografía
    7. Control 8.12: Protección contra Malware
    8. Pasos para Implementar Controles Tecnológicos
    9. Retos Comunes y Soluciones
    10. Caso integral
11. Resumen

Unidad 15: Proceso de implantación VIII

1. Proceso de implantación VIII
2. Mapa conceptual
3. Auditoría interna
   1. Procedimiento de auditoria interna
   2. Características del auditor interno
   3. Planificación
   4. Programa
   5. Informe
   6. No Conformidades
   7. Observaciones
   8. Acciones correctivas
4. Checklist de Auditoría Interna ISO 27001
   1. Parte 1: Revisión de Cláusulas de ISO 27001
   2. Parte 2: Controles del Anexo A (Selección de Controles Clave)
      1. A. Controles Organizacionales
      2. B. Controles Relacionados con las Personas
      3. C. Controles Físicos
      4. D. Controles Tecnológicos
   3. Parte 3: Hallazgos y No Conformidades
5. Análisis de Causa Raíz
6. Métodos para Realizar un ACR
7. Pasos para Implementar un ACR en ISO 27001
8. Ejemplo. Informe de Auditoría Interna ISO 27001
   1. Introducción
   2. Hallazgos
      1. No Conformidades (NC)
      2. Observaciones
   3. Conclusiones
   4. Plan de Acciones Correctivas
   5. Recomendaciones
   6. Aprobación
9. Anexos
10. Resumen

Unidad 16: Proceso de implantación IX

1. Proceso de implantación IX
2. Mapa conceptual
3. Revisión por la dirección
4. Estado de las Acciones de Revisiones Anteriores
5. Cambios Externos e Internos Relevantes para el SGSI
6. No Conformidades y Acciones correctivas
7. Seguimiento y Resultados de Mediciones
8. Resultados de Auditorías Internas y Externas
9. Objetivos del SGSI
10. Partes Interesadas
11. Resultados de la Evaluación de Riesgos y Plan de Tratamiento
12. Oportunidades de mejora continua
13. Resultado de la Revisión por la Dirección
    1. A. Conclusiones
    2. B. Decisiones y Acciones a Emprender
    3. C. Necesidades de Mejora
14. Resumen

Unidad 17: Proceso de certificación

1. Proceso de certificación
2. Mapa conceptual
3. Etapas previas
4. Preparación inicial
5. Evaluación de riesgos y tratamiento
6. Documentación obligatoria
7. Implementación de controles
8. Auditoría interna
9. Revisión por la dirección
10. Auditoría de certificación
11. Beneficios de la certificación
12. Etapa 1: Auditoría documental
13. Etapa 2: Auditoría de implementación
14. Aspectos Clave para el Éxito
15. Informe final
16. Plan de Acciones Correctivas (PAC)
17. Pasos para elaborar un PAC efectivo
18. Plazos para Corregir No Conformidades
19. Ejemplo de Plan de Acciones Correctivas
20. Claves para un PAC Exitoso
21. Post-certificación
22. Beneficios del Mantenimiento Efectivo
23. Checklist de Mantenimiento Post-Certificación
24. Resumen