Servicios de Asesoría y Capacitación Empresarial, S. C.

   

English

   

   

Français

   

   

Deutsch

OBJETIVO DEL CURSO.

Proporcionar un sólido y profundo conocimiento sobre la Norma Internacional ISO/IEC 27004:2016 Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Seguimiento, medición, análisis y evaluación para que los participantes puedan emplearla como apoyo en el diseño de los procesos de seguimiento, medición, análisis y evaluación de la cláusula 9 de ISO/IEC 27001:2013.

Nota 1: la Norma Internacional ISO/IEC 27004:2016 está diseñada para que sea aplicable a organizaciones de todo tipo y de cualquier tamaño.

DURACIÓN DEL CURSO: 24 horas.

TEMARIO DEL CURSO.

El temario del curso es el siguiente:

1. Introducción.
   
   

1. Objeto y campo de aplicación.
   
   
2. Referencias normativas.
   
   
3. Términos y definiciones.
   
   
4. Estructura y visión general.
   
   
5. Fundamentos.
   1. La necesidad de medición.
   2. Cumplimiento de los requisitos de ISO/IEC 27001.
   3. Validez de los resultados.
   4. Beneficios.
      
      
6. Características.
   1. Generalidades.
   2. A qué darle seguimiento.
   3. Qué medir.
   4. Cuándo hacer el seguimiento, medición, análisis y evaluación.
   5. Quién realizará el seguimiento, medición, análisis y evaluación.
      
      
7. Tipos de mediciones.
   1. Generalidades.
   2. Mediciones del desempeño.
   3. Eficacia del desempeño.
      
      
8. Procesos.
   1. Generalidades.
   2. Identificación de las necesidades de información.
   3. Creación y mantenimiento de las mediciones.
      1. Generalidades.
      2. Identificación de las prácticas actuales de seguridad que pueden apoyar las necesidades de información.
      3. Desarrollo o actualización de mediciones.
      4. Documentación de las mediciones y establecimiento de prioridades para la implementación.
      5. Mantener informada y comprometida de la alta dirección.
   4. Establecimiento de procedimientos.
   5. Seguimiento y medición.
   6. Análisis de resultados.
   7. Evaluación del desempeño de la seguridad de la información y de la eficacia del sistema de gestión de la seguridad de la información.
   8. Revisión y mejora de los procesos de seguimiento, medición, análisis y evaluación.
   9. Conservación y comunicación de la información documentada.
      
      
9. Anexo A Un modelo de medición de la seguridad de la información.
   
   
10. Anexo B Ejemplos de construcción de mediciones.
    1. Generalidades.
    2. Asignación de recursos.
    3. Revisión de la política.
    4. Compromiso de la dirección.
    5. Exposición al riesgo.
    6. Programa de auditoría.
    7. Acciones de mejora.
    8. Costo de los incidentes de seguridad.
    9. Aprendizaje de los incidentes de seguridad de la información.
    10. Implementación de la acción correctiva.
    11. Formación o toma de conciencia en el sistema de gestión de la seguridad de la información.
    12. Formación en seguridad de la información.
    13. Cumplimiento de la toma de conciencia de la seguridad de la información.
    14. Eficacia de las campañas del sistema de gestión de la seguridad de la información.
    15. Preparación ante la ingeniería social.
    16. Calidad de contraseñas - Manuales.
    17. Calidad de contraseñas - Automatizadas.
    18. Revisión de los derechos de acceso del usuario.
    19. Evaluación del sistema de controles de entrada física.
    20. Eficacia de los controles de estrada física.
    21. Gestión del mantenimiento periódico.
    22. Gestión del cambio.
    23. Protección contra código malicioso.
    24. Antimalware.
    25. Disponibilidad total.
    26. Reglas del cortafuegos.
    27. Revisión de los archivos de registro.
    28. Configuración del dispositivo.
    29. Pruebas de penetración y evaluación de la vulnerabilidad.
    30. Panorama de vulnerabilidades.
    31. Seguridad en acuerdos de tercera parte - A.
    32. Seguridad en acuerdos de tercera parte - B.
    33. Eficacia de la gestión de incidentes de seguridad de la información.
    34. Tendencia de incidentes de gestión de la seguridad.
    35. Informe de eventos de seguridad.
    36. Proceso de revisión del sistema de gestión de la seguridad de la información.
    37. Cobertura de las vulnerabilidades.
        
        
11. Anexo C Un ejemplo de forma sin llenar de la construcción de una medición.
    1. Eficacia de la formación - Construcción de la medición de la eficacia de la medición.
       
       
12. Taller de ejercicios de interpretación y aplicación de la Norma Internacional ISO/IEC 27004:2016.

Regresar a los cursos de sistemas de gestión de la seguridad de la información.

Regresar a los cursos de sistemas de gestión.