Temario del curso
ISO/IEC 27002:2022 es el estándar internacional más reciente que ofrece directrices prácticas para los controles de seguridad de la información, junto con ISO/IEC 27001, para establecer, implementar y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Este programa actualizado se alinea con la revisión de 2022 e incorpora la terminología actual de recursos humanos y reclutamiento utilizada en las descripciones de puestos de trabajo relacionados con la seguridad de la información.
Fundamentos de la Seguridad de la Información, Ciberseguridad y Protección de Datos
- Fundamentos de la seguridad de la información: confidencialidad, integridad y disponibilidad (triada CIA) en entornos empresariales modernos.
- Evolución de las amenazas cibernéticas: ransomware, ataques estatales, amenazas internas y compromisos en la cadena de suministro.
- Privacidad desde el diseño y alineación regulatoria con GDPR, CCPA y marcos globales de protección de datos.
- Gobernanza de la información: propiedad, responsabilidad y alineación de partes interesadas entre departamentos.
- Gestión de la confianza y el paradigma de arquitectura de cero confianza en entornos híbridos y basados en la nube.
El Marco ISO/IEC 27001–27002 y la Gobernanza del SGSI
- Ciclo de vida del SGSI de ISO/IEC 27001: Planificar-Hacer-Ver-Actuar (PDCA) y rutas hacia la certificación.
- Relación entre ISO/IEC 27001 y el catálogo de controles actualizado de ISO/IEC 27002:2022.
- Desarrollo de políticas de seguridad de la información y estructuras de gobernanza de alto nivel.
- Mapeo del cumplimiento normativo: NIST CSF, CIS Controls, SOC 2 y estrategias de alineación con HIPAA.
- Métricas de seguridad de la información, indicadores clave de rendimiento (KPI) e informes de mejora continua.
Controles Organizativos — El Marco del Grupo de Controles 5
- Roles y responsabilidades de seguridad de la información, así como segregación de funciones entre los niveles organizativos.
- Programas de inteligencia de amenazas y plataformas de gestión de información de seguridad (SIEM, SOAR).
- Gestión del estado de seguridad en la nube (CSPM) y cumplimiento basado en infraestructura como código.
- Seguridad en redes sociales, dispositivos propios para el trabajo (BYOD) y teletrabajo: gestión de dispositivos móviles y protección final.
- Monitoreo, detección de incidentes y gestión del riesgo de terceros en ecosistemas de TI complejos.
Controles Humanos — La Fuerza Laboral de Seguridad
- Concienciación sobre seguridad, técnicas de cambio de comportamiento y programas de simulación de phishing.
- Vetagging de antecedentes personales, controles de incorporación y salida en el ciclo laboral de seguridad.
- Resiliencia del equipo remoto y políticas de acceso seguro para trabajos flexibles.
- Marco de competencias: alineación de la formación en seguridad de la información con roles en todos los niveles.
- Fomento de una cultura priorizando la seguridad y colaboración multidisciplinaria en la gestión de riesgos.
Controles Físicos — Seguridad de Instalaciones y Activos
- Diseño seguro de instalaciones: seguridad perimetral, sistemas de vigilancia y controles de acceso físico.
- Mantenimiento de equipos, garantía de la cadena de suministro y gestión del ciclo de vida de activos.
- Seguridad de centros de datos: controles ambientales, redundancia energética y preparación ante desastres.
- Métodos seguros de eliminación de medios sensibles: estándares de sanitización e integridad de la cadena de suministro.
- Amenazas físicas emergentes: seguridad de dispositivos IoT y superficies de ataque en edificios inteligentes.
Controles Tecnológicos y Dominios Avanzados de Seguridad
- Controles criptográficos: gestión del ciclo de vida de claves, PKI y optimización de cifrado impulsada por IA.
- Seguridad de aplicaciones: SDLC seguro, seguridad de APIs, integración de DevSecOps y herramientas SAST/DAST.
- Controles de arquitectura de red: segmentación, microsegmentación, firewalls e IDS/IPS de nueva generación.
- Seguridad en el correo electrónico: anti-phishing, DMARC/SPF/DKIM y defensa contra la Compromiso de Correo Empresarial (BEC).
- Inteligencia artificial y aprendizaje automático en ciberseguridad: detección automatizada de amenazas y mitigación de IA adversaria.
Evaluación de Riesgos de Seguridad de la Información y Cumplimiento
- Metodologías de evaluación de riesgos alineadas con ISO/IEC 27005: identificación, análisis y evaluación.
- Planificación del tratamiento de riesgos y declaración de aplicabilidad (SOA).
- Preparación para auditorías de cumplimiento: coordinación interna/externa y auditoría basada en evidencias.
- Metodologías de pruebas de penetración y ciclo de vida de la gestión de vulnerabilidades.
- Amenazas emergentes: riesgo de computación cuántica, sostenibilidad ambiental (TI verde) y tecnologías mejoradoras de privacidad (PETs).
Preparación para el Examen PECB y Aplicación en la Práctica
- Estructura del examen de Fundamentos ISO/IEC 27002 de PECB, dominios de competencia y estrategias de preparación.
- Casos de estudio ejemplos: implementación de seguridad de la información en servicios financieros, atención médica y sector tecnológico.
- Fomento de una cultura y concienciación sobre seguridad dentro de su organización tras la certificación.
- Mantenimiento de la certificación, desarrollo profesional y rutas de carrera para roles en seguridad de la información.
Resumen de Investigaciones
El programa existente de dos días está excesivamente condensado y omite el alcance sustancial de ISO/IEC 27002:2022, que introdujo 93 controles agrupados en cuatro temas (Organizativo, Humano, Físico, Tecnológico), frente a los 114 controles en 14 categorías de la versión 2013. Las tendencias clave en el reclutamiento de seguridad de la información para 2024–2026 incluyen arquitectura de cero confianza, operaciones de seguridad impulsadas por IA, gestión del estado de seguridad en la nube, integración de DevSecOps, seguridad de la cadena de suministro, tecnologías mejoradoras de privacidad, criptografía preparada para la era cuántica y gestión del riesgo de terceros. Las ofertas laborales de puestos como Analista de Seguridad de la Información, Líder de SGSI, Oficial de Cumplimiento, Especialista en Ciberseguridad y Gerente de Riesgos exigen consistentemente estas competencias.
Requerimientos
No hay requisitos específicos necesarios para asistir a este curso.
Reseñas (5)
Teoría seguida de ejemplos prácticos y ejercicios. ¡Buen trabajo!
Vincenzo Delle Donne - Department of National Defence
Curso - ISO 37301 Compliance Management System
Traducción Automática
la experiencia y conocimientos del formador
Erica DeRosa DeRosa - Aecon Group INc.
Curso - ISO 37001 Anti-Bribery Management System
Traducción Automática
Con ambos, mi entrenamiento relacionado con la preparación para la auditoría ISO 9001 de 2022 y el reciente curso de refrescamiento sobre la preparación para la auditoría ISO 9001; Dereck me ha ayudado significativamente a obtener una nueva y práctica perspectiva de las cláusulas y secciones de ISO 9001:2015, y cómo se aplican a nuestro negocio. Dereck también me ha ayudado en ambos cursos de capacitación para mejorar mis comunicaciones relacionadas con la ISO, tanto con los empleados de nuestra empresa como con los auditores externos de ISO.
Dana Foster - Corrigan Oil Company
Curso - ISO 9001 Foundation
Traducción Automática
Los cuestionarios para reforzar la lectura y la capacidad de hacer preguntas en cualquier momento
Jonathan
Curso - ISO 9001 Lead Auditor
Traducción Automática
Velocidad de respuesta y comunicación
Bader Bin rubayan - Lean Business Services
Curso - ISO/IEC 27001 Lead Implementer
Traducción Automática