Curso de Implantación y Auditoría ISO 27001

Garantizar una correcta gestión de los datos disponibles permite a las organizaciones un mejor aprovechamiento de sus recursos y una rápida detección de las oportunidades que pudieran surgir. Es más, posibilita prever posibles recesiones y anticiparse a su inicio, sentando las bases para poder afrontarlas del mejor modo posible. Es por ello que la gestión de la información se ha convertido en una prioridad para las organizaciones más punteras.

El manejo de datos, en cualquier caso, es algo en extremo delicado, por lo que han trabajar continuamente en garantizar la seguridad de la información, tratándola como un proceso más de la empresa. No hay que olvidar, en este sentido, que cada vez es mayor el número de amenazas existentes, por lo que son imprescindibles medidas de seguridad a nivel tecnológico, y también en el ámbito de los aspectos organizativos y del personal.

Para la mayoría de las organizaciones, la seguridad de la información es parte de su línea de negocio, ya que una empresa que no garantice la integridad, confidencialidad y disponibilidad de su información estará abocada al fracaso en un mundo cada vez más global y competitivo. Y es precisamente por ello por lo que cada vez es más frecuente que se apueste por la implantación de sistemas de gestión de la seguridad de la información (SGSI); esto es, de metodologías que favorezcan la optimización de la seguridad de la información que se genera al interior de las organizaciones.

Ante la necesidad de proteger los datos de los que disponen empresas e instituciones, la Organización Internacional para la Estandarización (ISO) aprobó y publicó en 2005 una normativa estándar cuyo objetivo era implementar, mejorar y mantener un sistema de gestión de la seguridad de la información corporativa: la ISO 27001, que, basada en la norma británica BS 7799-2:2002, tuvo buena acogida por parte de numerosas empresas a nivel mundial.

La publicación de la revisión de las normas ISO/IEC 27001:2013 fue llevada a cabo el 25 de septiembre de 2013, y en su redacción se tuvo en cuenta el Anexo SL, un apéndice en el que se define una estructura de alto nivel para las nuevas ISO y para aquellas objeto de renovación. Cuenta, así, con diez cláusulas: Alcance, Referencias normativas, Términos y definiciones, Contexto de la organización, Liderazgo, Planificación, Soporte, Operación, Evaluación del desempeño y Mejora; lo que supone, entre otras cuestiones, una mayor exigencia en cuanto al compromiso que habrá de adoptar la alta dirección.

Actualmente, AENOR tiene como versión vigente UNE-EN ISO/IEC 27001:2022 de Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos. Esta norma de AENOR se basa en ISO/IEC 27001:2013, incluyendo Cor 1:2014 y Cor 2:2015, por lo que tiene equivalencia internacional con ISO/IEC 27001:2013. Nuestro curso actualmente está adaptándose a dicha norma.

En este curso, se abordan las tareas necesarias para la implantación de un Sistema de Gestión de Seguridad de la Información según la Norma ISO 27001; y, para ello, se parte de una base sencilla, desde la que afianzar los conceptos de seguridad de la información, y posteriormente se profundiza en su gestión y organización según la ISO 27001 así como en su auditoría. Y todo ello desde una perspectiva eminentemente práctica y con diversos ejemplos de su aplicación para favorecer su mejor entendimiento posible.

En este curso, el alumno adquirirá una base suficiente para poder actuar como Técnico en ISO 27001, ya que sabrá cómo:

• Planificar y ejecutar un proyecto de implantación de un SGSI Sistema de Gestión de Seguridad de la Información
• Implantar con éxito un Sistema de Gestión de Seguridad de la Información en la empresa
• Implantar la Norma ISO 27001, usando las herramientas de apoyo disponibles, y auditarla

1. Sistema de Gestión de la Seguridad de la Información (SGSI)
   1. Introducción
   2. ¿Qué es un SGSI? Concepto y funciones
   3. Bases del SGSI
   4. Indicadores de gestión
2. La familia de Normas ISO 27000
   1. Introducción
   2. Desarrollo de las Normas ISO
   3. La serie 27000
   4. La Norma 27001
   5. Versión ISO/IEC 27001:2013 - UNE-ISO/IEC 27001:2022
      1. Cambio en las versiones y su análisis
      2. Análisis del cambio en las versiones
      3. Esquema resumen
   6. La Norma UNE-EN ISO/IEC 27001:2022. Análisis de contenidos
      1. Estructura del nuevo estándar. El Anexo SL
      2. Descripción de los capítulos
   7. Recuerda
3. Implantación de un SGSI según UNE-EN ISO/IEC 27001:2022
   1. Introducción y conceptos asociados
   2. Implantación de un SGSI: Enfoque
   3. Ventajas e inconvenientes
   4. Implementación de un SGSI: Etapas
   5. Bases para la Implementación de un SGSI
      1. Fase. Contextualización
      2. Fase. Sistema de Gestión Documental
      3. Fase. Análisis de riesgos
      4. Fase. Proyecto
      5. Fase. Auditoría de cumplimiento
4. Proceso de auditoría y certificación
   1. Auditorías. Tipos y objetivos
      1. Propósito de las auditorías
   2. El proceso de auditoría
      1. El plan de auditoría
      2. Programar y autorizar la auditoría
      3. Realización de la auditoría
      4. Informar sobre la auditoría
      5. La auditoría de seguimiento
      6. Completar los registros de auditoría
      7. Procesos de auditoría de un SGSI
   3. El auditor
      1. Trabajo del auditor
      2. Recomendaciones para el auditor
      3. Consideraciones previas a la auditoría
      4. Consejos para el auditor
   4. Planificación y programación de la auditoría
      1. Programación de Auditoría
   5. Ejecución de la auditoría
      1. Reunión de presentación
      2. La ejecución
   6. El informe de auditoría
      1. Reunión de clausura y cierre
   7. Seguimiento de las no conformidades
   8. Entidades de certificación