2022-Q2-Webinar-ISO_Spanish_Final.pdf

SEMINARIO WEB:
CERTIFICACIÓN ISO 27001
TU SOCIO IT PARA SU CUMPLIMIENTO –
VE MÁS ALLÁ DE UNA LISTA

Agenda
2
1. Introducción a ControlCase
2. ¿Qué es la norma ISO 27001?
3. ¿Qué es la norma ISO 27002?
4. ¿Qué son las normas ISO 27701, ISO 27017 e ISO
27018?
5. ¿Qué es SGSI?
6. ¿Qué es la certificación ISO 27001?
7. ¿Quién necesita la ISO 27001?
8. ¿Cómo está la ISO 27001 estructurada?
9. ¿Qué cubre la ISO 27001?
10. ¿Cuál es el proceso de certificación ISO 27001?
11. ¿Cuántos controles hay en la ISO 27001?
12. ¿Cuán seguido necesitas la certifiación ISO 27001?
13. ¿Qué desafíos trae el cumplimiento de la norma
ISO 27001?
14. ¿Por qué ControlCase?
© 2021 ControlCase. Todos los derechos reservados

INTRODUCCIÓN A CONTROLCASE
1
© 2021 ControlCase. Todos los derechos reservados 3

ControlCase Visión General
4
SERVICIOS DE CERTIFICACIÓN Y CUMPLIMIENTO CONTINUO
Ve más allá de la lista del auditor:
Reduce drásticamente el tiempo, costo y esfuerzo que implican obtener la certificación y mantener el cumplimiento de IT.
• Demostrar el cumplimiento de forma más
eficiente y rentable (certidumbre de
costos)
• Mejorar la eficiencia
⁃ Haz más con menos recursos y goza de
la tranquilidad de cumplir con los
requerimientos
• Libera recursos internos para que puedan
enfocarse en sus prioridades
• Delega la carga del cumplimiento a un
socio de confianza
1,000+ 275+
10,000+
CLIENTES CERTIFICACIONES DE
SEGURIDAD IT
EXPERTOS EN
SEGURIDAD

Solución
© 2021 ControlCase. Todos los derechos reservados 5
Servicios de Certificación y Cumplimiento
Continuo
“
He trabajado en ambos lados de la
auditoría. No he visto ninguna otra
empresa entregar el mismo valor de
producto y servicio. Ninguna otra
empresa proporciona esa mejora
continua y el nivel de detalle y capacidad
de respuesta.
— Gerente de Seguridad y Cumplimiento,
Centro de Datos
Enfoque de
asociación
Servicios de
cumplimiento
continuo
Enfoque en la
automatización
Servicios de
certificación
IT

ISO27001/ 2 CMMC RPO SOC 1,2,3,&
Cybersecurity
HITRUST CSF
HIPAA PCI DSS GDPR NIST 800-53
PCI PIN PCI PA-DSS FedRAMP PCI 3DS
One Audit™
Evaluar una vez. Complir con muchos.
Servicios de Certificación
6
“
Tienes 27 segundos para causar una
buena primera impresión. Y después de
nuestra reunión inicial, quedó claro que
estaban más interesados en ayudar a
nuestro negocio y establecer una
relación, que en solo cerrar el negocio
con nosotros.
— Sr. Director, Riesgo de la Información y
Cumplimiento, Gran comerciante

Tablero de la ISO para One Audit™
7

¿QUÉ ES LA NORMA ISO 27001?
2
© 2021 ControlCase. Todos los derechos reservados. 8

¿Qué es la ISO 27001?
9
ORGANIZACIÓN INTERNACIONAL DE ESTANDARIZACIÓN
(ISO por sus siglas en inglés)
ISO/IEC 27001 (CONOCIDA COMO ISO 27001) ES PARTE DE LA FAMILIA DE ESTÁNDARES ISO/IEC 27000
Centrado en la seguridad
de la información y en
permitir que las
organizaciones gestionen
activos de seguridad.
ISO 27001 proporciona
los requisitos para un
Sistema de gestión de
seguridad de la
información (SGSI).
Adopta un enfoque
basado en el riesgo para
gestionar la seguridad de
la información.

¿QUÉ ES LA NORMA ISO 27002?
3
© 2021 ControlCase. Todos los derechos reservados. 10

ISO 27001 vs ISO 27002
11
• ISO 27001 es el marco central de la serie ISO 27000
relacionada con la gestión de la seguridad de la
información.
• Enumera cada aspecto requerido para el SGSI.
• ISO 27001 contiene requisitos para la implementación de
un SGSI.
• ISO 27001 es una certificación.
27001 27002
• ISO 27002 es una norma complementaria que se centra
en los controles de seguridad de la información que las
organizaciones pueden optar por implementar.
• Trata únicamente los controles de seguridad de la
información.
• ISO 27002 no es una certificación.

¿QUÉ SON LAS NORMAS ISO 27701,
ISO 27017 E ISO 27018?
4
12

¿Qué es la norma ISO 27701?
13
La ISO/IEC 27701 es una extensión de privacidad de la ISO/IEC 27001 y la ISO/IEC 27002 y proporciona
orientación adicional para la protección de la privacidad, la cual se ve potencialmente afectada por la
recopilación y procesamiento de información personal.

¿Qué son la ISO 27017 y la 27018?
14
Técnicas de seguridad — Código de prácticas para controles de
seguridad de la información basado en ISO/IEC 27002 para servicios
en la nube.
27017 27018
Técnicas de seguridad - Código de prácticas para la protección de
información de identificación personal (PII) en nubes públicas que
actúan como procesadores de PII.
• Ambas son extensiones
complementarias de la norma
ISO 27001.
• Todas las cláusulas y anexos
se aplican igual que la norma
ISO 27001 principal.
• No puede realizar ninguna de
estas sin la ISO 27001.
• ControlCase no puede
realizarlos si otra persona ha
hecho la evaluación ISO
27001.

¿QUÉ ES SGSI?
5
15

¿Qué es SGSI?
Un SGSI (Sistemas de Gestión de Seguridad de la Información) es un marco de políticas y
procedimientos que incluye todos los controles legales, físicos y técnicos involucrados en los
procesos de gestión de riesgos de la información de una organización.
16

¿QUÉ ES LA CERTIFICACIÓN
ISO 27001?
6
17

Cumplimiento vs Certificación
18
ISO 27001 CUMPLIMIENTO
Significa que la organización sigue el
estándar ISO 27001.
ISO 27001 CERTIFICACIÓN
Significa que el Sistema de Gestión de
Seguridad de la Información ISO 27001 de
la organización ha sido certificado de
conformidad con la norma por auditores
conocidos como Organismos de
Certificación (como lo es ControlCase
InfoSec).

¿QUIÉN NECESITA LA
CERTIFICACIÓN ISO?
7
19

¿Quién necesita la certificación ISO 27001?
Cualquier organización que desee o esté obligada a formalizar y mejorar los procesos comerciales en
torno a la seguridad de la información, la privacidad y la protección de sus activos de información.
El tamaño/facturación de una empresa no dicta la necesidad de ISO 27001.
20

¿QUÉ INCLUYE LA ISO 27001?
9
21

¿QUÉ INCLUYE LA ISO 27001?
22
Políticas de Seguridad de
la Información
Organización de la
Seguridad de la
Información
Seguridad de Recursos
Humanos
Gestión de Activos
Control de Acceso Criptografía
Seguridad Física y
Ambiental
Seguridad de Operaciones
Seguridad de las
Comunicaciones
Etapas del Ciclo de Vida
de Desarrollo del Software
(SDLC)
Relación con el Proveedor
Administracion de
Incidentes
Continuidad Comercial Cumplimiento

¿QUÉ ES EL COMPLEMENTO DE
PRIVACIDAD?
10
23

Evaluación del Complemento de Privacidad (ISO 27701)
24
• Requiere tiempo adicional de
evaluación.
• Depende de si la entidad es un
controlador de PII o un
procesador de PII o ambos.
CONTROLADOR PII
• Cubre áreas como contratos y
obligaciones con el consumidor.
• Cubre objetivos de retención y
disposición.
PROCESADOR PII
• Cubre áreas como el marketing
y el uso publicitario.
• Cubre las reglas de PII entre
organizaciones y entre países.

¿CUÁL ES EL PROCESO DE
CERTIFICACIÓN ISO 27001?
11
25

Metodología de Certificación ControlCase – AÑO 1
26
EVALUACIÓN PREVIA ITERATIVA AUDITORÍA ISO ETAPA 1 AUDITORÍA ISO ETAPA 2 ENTREGAS
• Evaluación previa consolidada
(evaluación ControlCase 250).
• Uso del centro de cumplimiento
de ControlCase y la lista
integrada.Evaluación de políticas
y procedimientos.
• Múltiples rondas de evaluación
antes de la Etapa 1 y la Etapa 2
de la auditoría.
En el sitio/ Remota
Promedio de 4 días
En el sitio/ Remota
Promedio de 6 días
• Certificado ISO 27001 emitido.
• Documentos de extensión
publicados.
FASE FASE
3
1 2
FASE
Mínimo 10 días entre etapa 1 y 2
2A 2B
TIEMPO PROMEDIO PARA LA FASE 1 a 3 ES DE 6 MESES

Auditorías de Vigilancia ISO – AÑO 2 y AÑO 3
27
ISO 27001 REQUIERE QUE LAS AUDITORÍAS DE
VIGILANCIA SE COMPLETEN PARA LOS AÑOS 2 Y 3.
Las auditorías de vigilancia son mini
auditorías que evalúan si el sistema de
gestión del cliente certificado aún cumple
con la norma ISO 27001.
Las auditorías de vigilancia no son
auditorías completas del sistema.

¿CUÁNTOS CONTROLES HAY EN LA
ISO 27001?
12
28

ControlCase ISO 27001 Preguntas
29
Total: 108 Preguntas
Preguntas comunes sobre el Alcance de
la ISO
Preguntas de Evaluación de ISO 27001
Preguntas sobre la Publicación de
Documentos
6 Preguntas 98 Preguntas 4 Preguntas

¿CUÁN SEGUIDO NECESITAS LA
CERTIFIACIÓN ISO 27001?
13
30

¿Cuán seguido necesitas la certifiación ISO 27001?
31
La certificación ISO es válida por 3 años.
Se requieren auditorías de vigilancia en los
años 2 y 3.

¿QUÉ DESAFÍOS TRAE EL
CUMPLIMIENTO DE LA NORMA ISO
27001?
14
32

Desafíos Generales del Cumplimiento
33
Aparta a las personas de
sus responsabilidades
principales.
Probar y mantener el cumplimiento supone una
carga importante para las organizaciones.
Ejerce presión en
recursos
económicos
ORGANIZATIONS STRUGGLE WITH:
Dealing with multiple
regulations.
Keeping up with changing
regulations and
compliance requirements.
Understanding and
translating compliance
frameworks.
The lack of visibility into
their compliance posture.
The time spent
preparing for audits.
EL ENFOQUE TRADICIONAL DE VERIFICAR LA LISTA DEL AUDITOR NO ES SUFICIENTE.

Desafíos Comunes de la ISO 27001/27701
Socio Comercial Gestión de
Vulnerabilidad
Registro y Monitoreo Cifrado Políticas PII
y Entrenamiento
• Acuerdos a
formalizar
• Proceso de gestión
de proveedores.
• Gestión periódica
de vulnerabilidades
• Dispositivos de
parcheo
• Reescritura del
código de la
aplicación
• Monitoreo
24X7X365
• Gestión del
volumen de
registros
• Cifrado de PII • Capacitación anual
• Políticas y
procedimientos de
PII documentados
34

¿POR QUÉ CONTROLCASE?
15
35

ISO 27001-2 CCPA SOC 1,2,3,&
Cybersecurity
CMMC RPO HIPAA FedRAMP
PCI DSS NIST CSF PCI PIN PCI PA-DSS CSA Star Microsoft SSPA
One Audit™
36
Evaluar una vez. Complir con muchos.

ControlCase Compliance Hub® (Centro de Cumplimiento)
37
Motor de
Cumplimiento
Automatizado (ACE)
• Recopilar pruebas de
forma remota como, por
ejemplo,
configuraciones.
ControlCase
Descubrimiento de
Datos (CDD)
• Escanear las estaciones
de trabajo de los
usuarios finales en
busca de PII.
Evaluación de
Vulnerabilidades y
Pruebas de
Penetración (VAPT)
• Realizar escaneos
remotos de
vulnerabilidades y
pruebas de penetración.
Análisis de Registro
Automatizado
(LOGS)
• Revisar la configuración
de registro e identificar
los registros que faltan
de forma remota.

Servicios de Cumplimiento Continuo
ControlCase aborda situaciones comunes de incumplimiento que pueden dejarte vulnerable:
38
Activos que no informan
registros
Activos perdidos en los
análisis de vulnerabilidades
Vulnerabilidades críticas
pasadas por alto debido al
volumen
Reglas de firewall riesgosos
que pasan desapercibidos
Escenarios no marcados de
acceso de usuarios no
conformes
CARACTERÍSTICA: Paquete 1 - Con Servicios de Ciberseguridad* Paquete 2 - Sin Servicios de Ciberseguridad*
Revisión trimestral de 15 a 25 preguntas de cumplimiento ✓ ✓
Revisión Trimestral del Alcance ✓ ✓
Recopilación y análisis de datos a través de conectores desde los sistemas del cliente — ✓
Evaluación de vulnerabilidad ✓ —
Pruebas de penetración ✓ —
Descubrimiento de datos confidenciales ✓ —
Revisión del conjunto de reglas de firewall ✓ —
Capacitación de concientización sobre seguridad ✓ —
Registro y alertas automatizadas ✓ —
* Se puede seleccionar un paquete híbrido.

Resumen – ¿Por qué ControlCase?
39
“Proporcionan un excelente
servicio, experiencia y tecnología.
Además, la visibilidad sobre
nuestro cumplimiento a lo largo
del año y durante el proceso de
auditoría ha sido de gran valor
para nosotros.
— Dir. De Cumplimiento, Compañía SaaS
Enfoque de
asociación
Servicios de
cumplimiento
continuo
ControlCase
Centro de Cumplimiento
Enfoque en la automatización

GRACIAS POR LA OPORTUNIDAD DE
CONTRIBUIR AL PROGRAMA DE
CUMPLIMIENTO DE IT.
www.controlcase.com
contact@controlcase.com
Descarga ISO 27001 Lista de Cumplimiento
ISO 27001 Blog de Cumplimiento
Agenda ISO 27001 Discusión sobre Cumplimiento

2022-Q2-Webinar-ISO_Spanish_Final.pdf

Más contenido relacionado

La actualidad más candente

Similar a 2022-Q2-Webinar-ISO_Spanish_Final.pdf

Más de ControlCase

2022-Q2-Webinar-ISO_Spanish_Final.pdf