La Norma ISO/IEC 27001 es una norma internacional que establece los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Esta norma proporciona un enfoque sistemático y estructurado para gestionar la seguridad de la información en una organización, independientemente de su tamaño o sector. En este curso, los estudiantes identificarán los requisitos de la Norma ISO/IEC 27001, evaluarán su aplicabilidad a las organizaciones desde el punto de vista de encargados de seguridad y verificarán su cumplimiento desde la perspectiva de un auditor. Entenderán los componentes necesarios para implementar o determinar el estado actual del sistema de gestión de la seguridad de la información que sirva como punto de partida para su mejora. Y determinarán los requisitos necesarios para certificar el cumplimiento de un sistema de seguridad acorde con la norma.

Las temáticas por abordar en este curso son introducción, antecedentes y conceptualización de un sistema de gestión de la seguridad de la información, términos y definiciones de la norma ISO-27001, implementación, evaluación del desempeño y mejora, gestión de riesgos y auditorías internas.

El curso está diseñado por competencias y alineado con el marco de habilidades SFIA 8, por lo que se propone que los estudiantes logren responder a un nivel de habilidad 5 en el área de Seguridad de la Información (SCTY), de manera que evalúen y recomienden controles de seguridad específicos, ofrezcan asesoramiento y orientación sobre estrategias de seguridad para la gestión de riesgos identificados y aseguren el cumplimiento de estándares.
Al finalizar el curso el estudiante tendrá acceso a realizar los exámenes de certificación de ISO 27001 Fundamentos, ISO 27001 Implementador Líder e ISO 27001 Auditor Líder.

Contenidos

Tema 1. Introducción y antecedentes
-Introducción.
-Sistema de Gestión de Seguridad de la Información (SGSI).
-Historia de la Norma.
-ISO/IEC 27001:2022 Estructura.
-ISO 27000 Familia de normas.
-Conceptos claves.

Tema 2. ¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?
-Información y principios generales.
-La seguridad de la información.
-El sistema de gestión.
-Factores críticos de éxito de una SGSI.
-Beneficios de la familia de Normas SGSI.

Tema 3. Términos, definiciones y planificación: interpretar los requisitos de la norma
-Diseño e implementación de un SGSI.
-Fases de diseño del SGSI.
-Etapas de implementación de un SGSI.
-Estructura de ISO/IEC 27001.
-Ciclo Deming PHVA Y SGSI.
-Acciones para tratar riesgos y oportunidades.
-Objetivos de Seguridad de la Información.

Tema 4. Gestión de riesgos de seguridad de la información basado en ISO 27005
-Gestión de riesgos SGSI.
-Proceso de gestión del riesgo basado en ISO-IEC 27005.
-Establecimiento del contexto.
-Identificación de los activos.
-Clasificación de los activos.
-Perfil de una amenaza.
-Vulnerabilidad.
-Gestión de riesgos SGSI: Taller.

Tema 5. Planificación y pasos de la implementación de un SGSI
-Definición de un caso de negocio.
-Partes de un caso de negocio.
-Descripción de partes de un caso de negocio.
-Pasos generales en la implementación.

Tema 6. Contexto de la organización: Interpretar los requisitos de la norma y Liderazgo: Interpretar los requisitos de la norma
-Comprensión de la organización y su contexto.
-Comprensión de las necesidades y expectativas de las partes interesadas.
-Determinación del alcance del SGSI.
-Liderazgo y compromiso.
-Política.
-Roles, responsabilidades y autoridades organizacionales.

Tema 7. Soporte: interpretar los requisitos de la norma y Operación: interpretar los requisitos de la norma
-Recursos.
-Competencia.
-Toma de conciencia.
-Comunicación.
-Información documentada.
-Planificación y control operacional.
-Valoración de riesgos de Seguridad de la Información.
-Tratamiento de riesgos de Seguridad de la Información.

Tema 8. Evaluación del Desempeño: interpretar los requisitos de la norma
-Seguimiento, medición, análisis y evaluación.
-Auditoría interna y Auditoría de la Norma.
-Revisión por la dirección.
-No conformidad y acciones correctivas.
-Mejora continua.

Tema 9. Auditorías internas con énfasis en competencias de Auditor Líder
-Norma ISO 19011:2018.
-Auditoría y tipos de Auditoría.
-Actores de la auditoría.
-Programa de Auditoría.
-Plan de Auditoría.
-Pruebas de Auditoría.
-Métodos de Auditoría.
-Ejecutando la Auditoría.
-Resultados de la Auditoría.
-Conclusiones de Auditoría.
-Informe de Auditoría.
-Reunión de cierre.
-Las Auditorías de seguimiento.

Metodología de Aprendizaje

La educación actual suele limitar a estudiantes, forzándoles a absorber contenidos en lugar de fomentar la solución colectiva de problemas. En CENFOTEC, buscamos modificar este enfoque mediante nuestra metodología de aprendizaje constructivista llamada 40-40-20.

La técnica 40-40-20 divide el tiempo de clase: 40% el profesor da un charla para inducir al pensamiento autónomo basado en conceptos clave; el siguiente 40% para resolver retos individuales o en grupo, que exigen exploración, donde el docente es un facilitador; y el 20% restante para una discusión guiada por el profesorado. Para mantener la atención, consideramos 1 hora lectiva como 50 minutos, especialmente en cursos de 3-4 horas.

Adicionalmente el estudiante deberá dedicar una cantidad de horas adicionales para completar retos extraclase que el profesor le asigne.