Temario del curso
ISO/IEC 27002:2022 es la última norma internacional que proporciona directrices prácticas para los controles de seguridad de la información, junto con ISO/IEC 27001, para establecer, implementar y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Este programa actualizado se alinea con la revisión de 2022 e incorpora la terminología actual de recursos humanos y reclutamiento utilizada en las descripciones de puestos de trabajo de seguridad de la información.
Fundamentos de la seguridad de la información, ciberseguridad y privacidad
- Fundamentos de la seguridad de la información: confidencialidad, integridad y disponibilidad (tríada CIA) en entornos empresariales modernos.
- Evolución de las amenazas cibernéticas: ransomware, ataques patrocinados por estados, amenazas internas y compromisos de la cadena de suministro.
- Privacidad desde el diseño y alineación regulatoria con el RGPD, la CCPA y los marcos globales de protección de datos.
- Gobernanza de la información: propiedad, responsabilidad y alineación de las partes interesadas entre departamentos.
- Gestión de la confianza y el paradigma de arquitectura de confianza cero en entornos híbridos y de infraestructura en la nube.
El marco ISO/IEC 27001–27002 y la gobernanza del SGSI
- CICLO de vida del SGSI según ISO/IEC 27001: Planificar-Hacer-Verificar-Actuar (PHVA) y vías de certificación.
- Relación entre ISO/IEC 27001 y el catálogo de controles actualizado ISO/IEC 27002:2022.
- Desarrollo de políticas de seguridad de la información y estructuras de gobernanza de alto nivel.
- Mapeo del cumplimiento regulatorio: estrategias de alineación con NIST CSF, Controles CIS, SOC 2 e HIPAA.
- Métricas de seguridad de la información, indicadores clave de rendimiento (KPI) e informes de mejora continua.
Controles organizativos: el marco del grupo de controles 5
- Roles, responsabilidades y segregación de funciones de seguridad de la información en todos los niveles organizativos.
- Programas de inteligencia de amenazas y plataformas de gestión de información de seguridad (SIEM, SOAR).
- Gestión de la postura de seguridad en la nube (CSPM) y cumplimiento con infraestructura como código.
- Seguridad en redes sociales, BYOD (uso de dispositivos propios) y trabajo remoto: gestión de dispositivos móviles y protección de puntos finales.
- Monitoreo, detección de incidentes y gestión de riesgos de terceros en ecosistemas de TI complejos.
Controles personales: la fuerza laboral de seguridad
- Concientización sobre seguridad, técnicas de cambio de comportamiento y programas de simulación de phishing.
- Verificación de antecedentes, controles de incorporación y salida de seguridad durante el ciclo laboral.
- Resiliencia de la fuerza laboral remota y políticas de acceso seguro para el trabajo flexible.
- Marco de competencias: alineación de la capacitación en seguridad de la información con los roles en todos los niveles.
- Fomento de una cultura priorizada en la seguridad y colaboración interfuncional en la gestión de riesgos.
Controles físicos: seguridad de instalaciones y activos
- Diseño de instalaciones seguras: seguridad perimetral, sistemas de vigilancia y controles de acceso físico.
- Mantenimiento de equipos, garantía de la cadena de suministro y gestión del ciclo de vida de los activos.
- Seguridad de centros de datos: controles ambientales, redundancia de energía y preparación para la recuperación ante desastres.
- Métodos seguros de eliminación de medios sensibles: estándares de saneamiento e integridad de la cadena de suministro.
- Amenazas físicas emergentes: seguridad de dispositivos IoT y superficies de ataque en edificios inteligentes.
Controles tecnológicos y dominios avanzados de seguridad
- Controles criptográficos: gestión del ciclo de vida de las claves, PKI y optimización de la cifrado impulsada por inteligencia artificial.
- Seguridad de aplicaciones: SDLC seguro, seguridad de API, integración de DevSecOps y herramientas SAST/DAST.
- Controles de arquitectura de red: segmentación, microsegmentación, firewalls e IDS/IPS de próxima generación.
- Seguridad de correo electrónico: protección contra phishing, DMARC/SPF/DKIM y defensa contra el compromiso del correo empresarial (BEC).
- Inteligencia artificial y aprendizaje automático en ciberseguridad: detección automatizada de amenazas y mitigación de IA adversarial.
Evaluación de riesgos de seguridad de la información y cumplimiento
- Metodologías de evaluación de riesgos alineadas con ISO/IEC 27005: identificación, análisis y evaluación.
- Planificación del tratamiento de riesgos y declaración de aplicabilidad (SOA).
- Preparación para auditorías de cumplimiento: coordinación de auditorías internas/externas y auditorías basadas en evidencia.
- Metodologías de pruebas de penetración y ciclo de vida de la gestión de vulnerabilidades.
- Amenazas emergentes: riesgos de la computación cuántica, sostenibilidad ambiental (TI verde) y tecnologías que mejoran la privacidad (PETs).
Preparación para el examen PECB y aplicación en el mundo real
- Estructura del examen Fundamentos de ISO/IEC 27002 de PECB, dominios de competencia y estrategias de preparación.
- Casos de estudio de ejemplo: implementación de seguridad de la información en sectores financieros, de salud y tecnológicos.
- Creación de una cultura y conciencia sobre seguridad de la información dentro de su organización después de la certificación.
- Mantenimiento de la certificación, desarrollo profesional y vías de carrera para roles de seguridad de la información.
Resumen de la investigación
El programa existente de dos días está altamente condensado y omite el alcance sustancial de ISO/IEC 27002:2022, que introdujo 93 controles agrupados en cuatro temas (Organizativos, Personales, Físicos y Tecnológicos), frente a los 114 controles de 14 categorías de controles de la versión de 2013. Las tendencias clave en el reclutamiento de seguridad de la información para 2024–2026 incluyen arquitectura de confianza cero, operaciones de seguridad impulsadas por IA, gestión de la postura de seguridad en la nube, integración de DevSecOps, seguridad de la cadena de suministro, tecnologías que mejoran la privacidad, criptografía preparada para la computación cuántica y gestión de riesgos de terceros. Las publicaciones de puestos de recursos humanos para roles como Analista de Seguridad de la Información, Líder de SGSI, Oficial de Cumplimiento, Especialista en Ciberseguridad y Gerente de Riesgos exigen consistentemente estas competencias.
Requerimientos
No se requieren requisitos específicos para asistir a este curso.
Testimonios (5)
Teoría seguida de ejemplos prácticos y ejercicios. ¡Buen trabajo!
Vincenzo Delle Donne - Department of National Defence
Curso - ISO 37301 Compliance Management System
Traducción Automática
la experiencia y conocimientos del formador
Erica DeRosa DeRosa - Aecon Group INc.
Curso - ISO 37001 Anti-Bribery Management System
Traducción Automática
Con ambos, mi entrenamiento relacionado con la preparación para la auditoría ISO 9001 de 2022 y el reciente curso de refrescamiento sobre la preparación para la auditoría ISO 9001; Dereck me ha ayudado significativamente a obtener una nueva y práctica perspectiva de las cláusulas y secciones de ISO 9001:2015, y cómo se aplican a nuestro negocio. Dereck también me ha ayudado en ambos cursos de capacitación para mejorar mis comunicaciones relacionadas con la ISO, tanto con los empleados de nuestra empresa como con los auditores externos de ISO.
Dana Foster - Corrigan Oil Company
Curso - ISO 9001 Foundation
Traducción Automática
Los cuestionarios para reforzar la lectura y la capacidad de hacer preguntas en cualquier momento
Jonathan
Curso - ISO 9001 Lead Auditor
Traducción Automática
Velocidad de respuesta y comunicación
Bader Bin rubayan - Lean Business Services
Curso - ISO/IEC 27001 Lead Implementer
Traducción Automática
