Servicios de Asesoría y Capacitación Empresarial, S. C.

   

English

   

   

Français

   

   

Deutsch

OBJETIVO DEL CURSO.

Proporcionar un sólido y profundo conocimiento sobre las directrices para la gestión del riesgo de la seguridad de la información basadas en la Norma Internacional ISO/IEC 27005:2022 Seguridad de la información, seguridad cibernética y protección de la privacidad - Orientación sobre la gestión de riesgos de la seguridad de la información.

Nota 1: la Norma Internacional ISO/IEC 27005:2022 Seguridad de la información, seguridad cibernética y protección de la privacidad - Orientación sobre la gestión de riesgos de la seguridad de la información reemplaza a la Norma Internacional ISO/IEC 27005:2018 Tecnología de la información – Técnicas de seguridad – Gestión del riesgo de la seguridad de la información.

Nota 2: la Norma Internacional ISO/IEC 27005:2018 requiere conocimientos previos de las Normas Internacionales ISO/IEC 27001:2022 Seguridad de la información, seguridad cibernética y protección de la privacidad - Sistemas de gestión de la seguridad de la información – Requisitos. y de ISO/IEC 27002:2022 Seguridad de la información, seguridad cibernética y protección de la información - Controles de seguridad de la información.

DURACIÓN DEL CURSO: 24 horas.

TEMARIO DEL CURSO.

El temario del curso es el siguiente:

1. Introducción.
   

1. Objeto y campo de aplicación.
   
   
2. Referencias normativas.
   
   
3. Términos y definiciones.
   1. Términos relativos al riesgo de la seguridad de la información.
   2. Términos relativos a la gestión del riesgo de la seguridad de la información.
      
      
4. Estructura de la Norma Internacional ISO/IEC 27005:2022.
   
   
5. Gestión del riesgo de la seguridad de la información.
   1. Proceso de gestión de riesgo de la seguridad de la información.
   2. Ciclos de gestión del riesgo de la seguridad de la información.
      
      
6. Establecimiento del contexto.
   1. Consideraciones relativas a la organización.
   2. Requisitos básicos de identificación de las partes interesadas.
   3. Aplicación de la evaluación de riesgos.
   4. Establecimiento y mantenimiento de los criterios de riesgo de la seguridad de la información.
      1. Generalidades.
      2. Criterios de aceptación del riesgo.
      3. Criterios para realizar la evaluación de riesgo de la seguridad de la información.
         1. Generalidades.
         2. Criterios de consecuencias.
         3. Criterios de probabilidad.
         4. Criterios para determinar el nivel de riesgo.
   5. Selección de un método apropiado.
      
      
7. Proceso de evaluación de riesgo de la seguridad de la información.
   1. Generalidades.
   2. Identificación de los riesgos de la seguridad de la información.
      1. Identificación y descripción de los riesgos de la seguridad de la información.
      2. Identificación de los dueños del riesgo.
   3. Análisis de los riesgos de la seguridad de la información.
      1. Generalidades.
      2. Evaluación de las consecuencias potenciales.
      3. Evaluación de la probabilidad.
      4. Determinación de los niveles de riesgo.
   4. Evaluación de los riesgos de la seguridad de la información.
      1. Comparación de los resultados del análisis de riesgo con los criterios de riesgo.
      2. Priorización de los riesgos analizados para su tratamiento.
         
         
8. Proceso de tratamiento de riesgos de la seguridad de la información.
   1. Generalidades.
   2. Selección de las opciones apropiadas de tratamiento de riesgo de la seguridad de la información.
   3. Determinación de todos los controles que son necesarios para implementar las opciones de tratamiento de riesgo de la seguridad de la información.
   4. Comparación de los controles determinados con los establecidos en ISO/IEC 27001:2022, Anexo A.
   5. Elaboración de una declaración de aplicabilidad.
   6. Plan de tratamiento del riesgo de la seguridad de la información.
      1. Formulación del plan de tratamiento de riesgo.
      2. Aprobación por los dueños del riesgo.
      3. Aceptación de los riesgos residuales de la seguridad de la información.
         
         
9. Operación.
   1. Realización del proceso de evaluación del riesgo de la seguridad de la información.
   2. Realización del proceso de tratamiento de riesgo de la seguridad de la información.
      
      
10. Aprovechamiento de los procesos relacionados con el sistema de gestión de la seguridad de la información.
    1. Contexto de la organización.
    2. Liderazgo y compromiso.
    3. Comunicación y consultación.
    4. Información documentada.
       1. Generalidades.
       2. Información documentada acerca de procesos.
       3. Información documentada acerca de resultados.
    5. Seguimiento y revisión.
       1. Generalidades.
       2. Factores del seguimiento y de la revisión que influencian los riesgos.
    6. Revisión por la dirección.
    7. Acción correctiva.
    8. Mejora continua.
       
       
11. Anexo A Ejemplos de técnicas en apoyo del proceso de evaluación de riesgo.
    1. Criterios de riesgo de la seguridad de la información.
       1. Criterios de riesgo relativos a la evaluación de riesgo.
          1. Consideraciones generales de la evaluación de riesgo.
          2. Enfoque cualitativo.
             1. Escala de consecuencia.
             2. Escala de probabilidad.
             3. Nivel de riesgo.
          3. Enfoque cuantitativo.
             1. Escalas finitas.
          4. Criterios de aceptación de riesgo.
    2. Técnicas prácticas.
       1. Componentes del riesgo de la seguridad de la información.
       2. Activos.
       3. Fuentes de riesgo y estado final deseado.
       4. Enfoque basado en eventos.
          1. Ecosistema.
          2. Escenarios estratégicos.
       5. Enfoque basado en activos.
          1. Ejemplos de amenazas.
          2. Ejemplos de vulnerabilidades.
          3. Métodos para el evaluación de vulnerabilidades técnicas.
          4. Escenarios operacionales.
       6. Ejemplos de escenarios aplicables en ambos enfoques.
       7. Seguimiento de eventos relacionados con el riesgo.
          
          
12. Taller de ejercicios de interpretación y aplicación de la Norma Internacional ISO/IEC 27005:2022.

Regresar a los cursos de sistemas de gestión de la seguridad de la información.

Regresar a los cursos de gestión de riesgos.

Regresar a los cursos de sistemas de gestión.