La Norma ISO/IEC 27001 es una norma internacional que establece los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI). Esta norma proporciona un enfoque sistemático y estructurado para gestionar la seguridad de la información en una organización, independientemente de su tamaño o sector. En este curso, los estudiantes identificarán los requisitos de la Norma ISO/IEC 27001, evaluarán su aplicabilidad a las organizaciones desde el punto de vista de encargados de seguridad y verificarán su cumplimiento desde la perspectiva de un auditor. Entenderán los componentes necesarios para implementar o determinar el estado actual del sistema de gestión de la seguridad de la información que sirva como punto de partida para su mejora. Y determinarán los requisitos necesarios para certificar el cumplimiento de un sistema de seguridad acorde con la norma.

Las temáticas por abordar en este curso son introducción, antecedentes y conceptualización de un sistema de gestión de la seguridad de la información, términos y definiciones de la norma ISO-27001, implementación, evaluación del desempeño y mejora, gestión de riesgos y auditorías internas.

El curso está diseñado por competencias y alineado con el marco de habilidades SFIA 8, por lo que se propone que los estudiantes logren responder a un nivel de habilidad 5 en el área de Seguridad de la Información (SCTY), de manera que evalúen y recomienden controles de seguridad específicos, ofrezcan asesoramiento y orientación sobre estrategias de seguridad para la gestión de riesgos identificados y aseguren el cumplimiento de estándares.

Al finalizar el curso el estudiante tendrá acceso a realizar los exámenes de certificación de ISO 27001 Fundamentos, ISO 27001 Implementador Líder e ISO 27001 Auditor Líder.

Contenidos

Tema 1. Introducción y antecedentes
– Introducción.
– Sistema de Gestión de Seguridad de la Información (SGSI).
– Historia de la Norma.
– ISO/IEC 27001:2022 Estructura.
– ISO 27000 Familia de normas.
– Conceptos claves.

Tema 2. ¿Qué es un Sistema de Gestión de Seguridad de la Información (SGSI)?
– Información y principios generales.
– La seguridad de la información.
– El sistema de gestión.
– Factores críticos de éxito de una SGSI.
– Beneficios de la familia de Normas SGSI.

Tema 3. Términos, definiciones y planificación: interpretar los requisitos de la norma
– Diseño e implementación de un SGSI.
– Fases de diseño del SGSI.
– Etapas de implementación de un SGSI.
– Estructura de ISO/IEC 27001.
– Ciclo Deming PHVA Y SGSI.
– Acciones para tratar riesgos y oportunidades.
– Objetivos de Seguridad de la Información.

Tema 4. Gestión de riesgos de seguridad de la información basado en ISO 27005
– Gestión de riesgos SGSI.
– Proceso de gestión del riesgo basado en ISO-IEC 27005.
– Establecimiento del contexto.
– Identificación de los activos.
– Clasificación de los activos.
– Perfil de una amenaza.
– Vulnerabilidad.
– Gestión de riesgos SGSI: Taller.

Tema 5. Planificación y pasos de la implementación de un SGSI
– Definición de un caso de negocio.
– Partes de un caso de negocio.
– Descripción de partes de un caso de negocio.
– Pasos generales en la implementación.

Tema 6. Contexto de la organización: Interpretar los requisitos de la norma y Liderazgo: Interpretar los requisitos de la norma
– Comprensión de la organización y su contexto.
– Comprensión de las necesidades y expectativas de las partes interesadas.
– Determinación del alcance del SGSI.
– Liderazgo y compromiso.
– Política.
– Roles, responsabilidades y autoridades organizacionales.

Tema 7. Soporte: interpretar los requisitos de la norma y Operación: interpretar los requisitos de la norma
– Recursos.
– Competencia.
– Toma de conciencia.
– Comunicación.
– Información documentada.
– Planificación y control operacional.
– Valoración de riesgos de Seguridad de la Información.
– Tratamiento de riesgos de Seguridad de la Información.

Tema 8. Evaluación del Desempeño: interpretar los requisitos de la norma
– Seguimiento, medición, análisis y evaluación.
– Auditoría interna y Auditoría de la Norma.
– Revisión por la dirección.
– No conformidad y acciones correctivas.
– Mejora continua.

Tema 9. Auditorías internas con énfasis en competencias de Auditor Líder
– Norma ISO 19011:2018.
– Auditoría y tipos de Auditoría.
– Actores de la auditoría.
– Programa de Auditoría.
– Plan de Auditoría.
– Pruebas de Auditoría.
– Métodos de Auditoría.
– Ejecutando la Auditoría.
– Resultados de la Auditoría.
– Conclusiones de Auditoría.
– Informe de Auditoría.
– Reunión de cierre.
– Las Auditorías de seguimiento.

Metodología de Aprendizaje

La educación actual suele limitar a estudiantes, forzándoles a absorber contenidos en lugar de fomentar la solución colectiva de problemas. En CENFOTEC, buscamos modificar este enfoque mediante nuestra metodología de aprendizaje constructivista llamada 40-40-20.

La técnica 40-40-20 divide el tiempo de clase: 40% el profesor da un charla para inducir al pensamiento autónomo basado en conceptos clave; el siguiente 40% para resolver retos individuales o en grupo, que exigen exploración, donde el docente es un facilitador; y el 20% restante para una discusión guiada por el profesorado. Para mantener la atención, consideramos 1 hora lectiva como 50 minutos, especialmente en cursos de 3-4 horas.

Adicionalmente el estudiante deberá dedicar una cantidad de horas adicionales para completar retos extraclase que el profesor le asigne.