La Norma ISO/IEC 27001 es una norma internacional que establece los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Esta norma proporciona un enfoque sistemático y estructurado para gestionar la seguridad de la información en una organización, independientemente de su tamaño o sector. En este curso, los estudiantes identificarán los requisitos de la Norma ISO/IEC 27001, evaluarán su aplicabilidad a las organizaciones desde el punto de vista de encargados de seguridad y verificarán su cumplimiento desde la perspectiva de un auditor. Entenderán los componentes necesarios para implementar o determinar el estado actual del sistema de gestión de la seguridad de la información que sirva como punto de partida para su mejora. Y determinarán los requisitos necesarios para certificar el cumplimiento de un sistema de seguridad acorde con la norma.

Las temáticas por abordar en este curso son introducción, antecedentes y conceptualización de un sistema de gestión de la seguridad de la información, términos y definiciones de la norma ISO-27001, implementación, evaluación del desempeño y mejora, gestión de riesgos y auditorías internas.

El curso está diseñado por competencias y alineado con el marco de habilidades SFIA 8, por lo que se propone que los estudiantes logren responder a un nivel de habilidad 5 en el área de Seguridad de la Información (SCTY), de manera que evalúen y recomienden controles de seguridad específicos, ofrezcan asesoramiento y orientación sobre estrategias de seguridad para la gestión de riesgos identificados y aseguren el cumplimiento de estándares.

Al finalizar el curso el estudiante tendrá acceso a realizar los exámenes de certificación de ISO 27001 Fundamentos, ISO 27001 Implementador Líder e ISO 27001 Auditor Líder.

Contenidos

Tema 1. Introducción y antecedentes
-Introducción
-Sistema de Gestión de Seguridad de la Información (SGSI)
-Historia de la Norma
-ISO/IEC 27001:2022 Estructura
-ISO 27000 Familia de normas
-Conceptos claves

Tema 2. ¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?
-Información y principios generales
-La seguridad de la información
-El sistema de gestión
-Factores críticos de éxito de una SGSI
-Beneficios de la familia de Normas SGSI

Tema 3. Términos, definiciones y planificación: interpretar los requisitos de la norma
-Diseño e implementación de un SGSI
-Fases de diseño del SGSI
-Etapas de implementación de un SGSI
-Estructura de ISO/IEC 27001
-Ciclo Deming PHVA Y SGSI
-Acciones para tratar riesgos y oportunidades
-Objetivos de Seguridad de la Información

Tema 4. Gestión de riesgos de seguridad de la información basado en ISO 27005
-Gestión de riesgos SGSI
-Proceso de gestión del riesgo basado en ISO-IEC 27005
-Establecimiento del contexto
-Identificación de los activos
-Clasificación de los activos
-Perfil de una amenaza
-Vulnerabilidad
-Gestión de riesgos SGSI: Taller

Tema 5. Planificación y pasos de la implementación de un SGSI
-Definición de un caso de negocio
-Partes de un caso de negocio
-Descripción de partes de un caso de negocio
-Pasos generales en la implementación

Tema 6. Contexto de la organización: Interpretar los requisitos de la norma y Liderazgo: Interpretar los requisitos de la norma
-Comprensión de la organización y su contexto
-Comprensión de las necesidades y expectativas de las partes interesadas
-Determinación del alcance del SGSI
-Liderazgo y compromiso
-Política
-Roles, responsabilidades y autoridades organizacionales

Tema 7. Soporte: interpretar los requisitos de la norma y Operación: interpretar los requisitos de la norma
-Recursos
-Competencia
-Toma de conciencia
-Comunicación
-Información documentada
-Planificación y control operacional
-Valoración de riesgos de Seguridad de la Información
-Tratamiento de riesgos de Seguridad de la Información

Tema 8. Evaluación del Desempeño: interpretar los requisitos de la norma
-Seguimiento, medición, análisis y evaluación
-Auditoría interna y Auditoría de la Norma
-Revisión por la dirección
-No conformidad y acciones correctivas
-Mejora continua

Tema 9. Auditorías internas con énfasis en competencias de Auditor Líder
-Norma ISO 19011:2018
-Auditoría y tipos de Auditoría
-Actores de la auditoría
-Programa de Auditoría
-Plan de Auditoría
-Pruebas de Auditoría
-Métodos de Auditoría
-Ejecutando la Auditoría
-Resultados de la Auditoría
-Conclusiones de Auditoría
-Informe de Auditoría
-Reunión de cierre
-Las Auditorías de seguimiento

Metodología de Aprendizaje

La educación actual suele limitar a estudiantes, forzándoles a absorber contenidos en lugar de fomentar la solución colectiva de problemas. En CENFOTEC, buscamos modificar este enfoque mediante nuestra metodología de aprendizaje constructivista llamada 40-40-20.

La técnica 40-40-20 divide el tiempo de clase: 40% el profesor da un charla para inducir al pensamiento autónomo basado en conceptos clave; el siguiente 40% para resolver retos individuales o en grupo, que exigen exploración, donde el docente es un facilitador; y el 20% restante para una discusión guiada por el profesorado. Para mantener la atención, consideramos 1 hora lectiva como 50 minutos, especialmente en cursos de 3-4 horas.

Adicionalmente el estudiante deberá dedicar una cantidad de horas adicionales para completar retos extraclase que el profesor le asigne.