1
00:00:10,260 --> 00:00:17,820
Hola en este video abordaremos un tema del curso con el fin de que te prepares muy bien para tu certificación

2
00:00:17,820 --> 00:00:27,040
mundial miremos la parte IV de la norma que tiene que ver con el contexto la ISO veinti siete mil uno

3
00:00:27,340 --> 00:00:35,140
especifica los requisitos para establecer implementar mantener y mejorar continuamente un sistema de

4
00:00:35,140 --> 00:00:41,900
gestión de la seguridad de la información dentro del contexto de la organización la ISO veinti siete

5
00:00:41,900 --> 00:00:42,850
mil uno.

6
00:00:42,950 --> 00:00:48,380
Incluye también los requisitos para la valoración y el tratamiento de riesgos de seguridad de la información

7
00:00:48,890 --> 00:00:52,180
adaptados a las necesidades de la organización.

8
00:00:52,280 --> 00:00:59,330
La idea es determinar cuáles son las entidades externas e internas que deben ser escuchadas y tenidas

9
00:00:59,330 --> 00:01:00,750
en cuenta.

10
00:01:00,740 --> 00:01:07,460
Hay una nota de la determinación de los asuntos en lo que se refiere al establecimiento del contexto

11
00:01:07,730 --> 00:01:17,930
interno y externo de la organización considerado en el apartado 5.3 de la norma ISO 31000 De este modo

12
00:01:18,260 --> 00:01:24,830
se concluye que para el mismo análisis y gestión del riesgo esas amenazas se deben representar en algunas

13
00:01:24,830 --> 00:01:32,210
partes y es con ellas que se debe tratar directamente cuando se habla de partes externas.

14
00:01:32,210 --> 00:01:39,890
Se refiere a los temas de proveedores de clientes de socios de negocios existentes en toda la empresa

15
00:01:41,000 --> 00:01:48,470
la idea es determinar cuáles son las entidades externas e internas que deben ser escuchadas y tenidas

16
00:01:48,470 --> 00:01:49,880
en cuenta.

17
00:01:49,880 --> 00:01:56,420
Hay una nota de la determinación de los asuntos en lo que se refiere al establecimiento del contexto

18
00:01:56,690 --> 00:02:06,320
en lo interno y externo de la organización considerado en el apartado 5.3 de la norma ISO 31000 De este

19
00:02:06,320 --> 00:02:12,830
modo se concluye que para el mismo análisis y gestión del riesgo esas amenazas se deben presentar en

20
00:02:12,830 --> 00:02:20,270
algunas partes y es con ellas que se debe tratar directamente cuando se habla de partes externas.

21
00:02:20,270 --> 00:02:27,050
Se refiere a los temas de proveedores de clientes de socios de negocios existentes en toda la empresa

22
00:02:28,270 --> 00:02:34,780
se debe tener en cuenta y se le debe comunicar a esas entidades que deben realizar las mismas gestiones

23
00:02:34,780 --> 00:02:41,580
de Seguridad de la información sobre los activos de información que se van a compartir o delegar y se

24
00:02:41,580 --> 00:02:47,460
deben garantizar los mismos niveles de seguridad de la información ya que en algún momento se compartirá

25
00:02:47,490 --> 00:02:56,040
información y ésta debe ser asegurada sobre todo si se terceriza información la idea es que se le dé

26
00:02:56,130 --> 00:03:04,410
el mismo tratamiento a los activos información y en este sentido cuando se toca más el tema del alcance

27
00:03:05,680 --> 00:03:14,330
el alcance se refiere a qué procesos tecnologías áreas físicas o sitios físicos que personas qué áreas

28
00:03:14,330 --> 00:03:19,790
de personas y qué infraestructuras van a estar asociadas a este cumplimiento.

29
00:03:20,030 --> 00:03:27,950
Cuando se observa una certificación ISO 9000 o ISO 27000 hay una parte de la certificación que habla

30
00:03:27,950 --> 00:03:36,590
del alcance hay entidades que pueden llegar a certificar bajo la norma sus procesos o parte de ellos

31
00:03:37,700 --> 00:03:40,900
cuando se va a definir el alcance de la auditoría.

32
00:03:40,910 --> 00:03:50,120
Este especificará qué parte del SG ese se va a auditar porque a veces las auditorías son motivadas por

33
00:03:50,120 --> 00:03:53,790
alguna necesidad específica o por alguna situación.

34
00:03:54,050 --> 00:04:04,120
Por lo tanto puede darse la convocatoria a auditar una parte o todo el SGS y entonces cuando se habla

35
00:04:04,180 --> 00:04:11,950
del alcance de los procesos es posible que se vean partes externas de asociados y éstas serán parte

36
00:04:12,010 --> 00:04:13,260
del alcance.

37
00:04:13,480 --> 00:04:22,510
De hecho cuando uno hace auditorías tanto en 27000 como en PC y se da mucho la situación de que la organización

38
00:04:22,570 --> 00:04:29,980
amerite ciertas labores a terceros cuando ellos son parte del proceso es importante también conocer

39
00:04:29,980 --> 00:04:38,980
al tercero o al proveedor ISO 27000 exige esto para la seguridad de la información en todo nivel y en

40
00:04:38,980 --> 00:04:40,570
todas las instancias.

41
00:04:40,570 --> 00:04:49,510
Esto para complementar también es importante tomar en cuenta que hay una parte que dicta el alcance

42
00:04:49,600 --> 00:04:53,140
debe estar disponible como información documentada.

43
00:04:53,500 --> 00:05:00,520
Más adelante se profundizará que hay una parte que especifica qué se debe revisar la documentación del

44
00:05:00,520 --> 00:05:09,920
SG S.I inclusive hay una parte que habla del control de la documentación entonces es realmente importante

45
00:05:10,250 --> 00:05:15,320
que la cita previamente dicha sea remarcada o resaltada.

46
00:05:15,570 --> 00:05:22,480
Por qué es realmente importante solicitar la documentación correspondiente en la auditoría puede ocurrir

47
00:05:22,500 --> 00:05:24,130
qué es la auditoría.

48
00:05:24,130 --> 00:05:31,900
Al preguntar cuál es el alcance los que están en el contexto de la certificación lo definen se explican

49
00:05:31,900 --> 00:05:39,550
los procesos de la organización pero como auditor es realmente importante cómo se definió el alcance

50
00:05:40,030 --> 00:05:48,660
o cómo se concluyó que ese era es realmente muy necesario siempre pedir la documentación correspondiente.

51
00:05:48,700 --> 00:05:56,440
Con eso también se puede garantizar que el sistema de alcance está bien definido las empresas deberán

52
00:05:56,440 --> 00:06:01,770
establecer mantener y documentar un sistema de gestión de la seguridad de la información.

53
00:06:02,120 --> 00:06:10,690
SG S y la organización debe determinar las cuestiones externas e internas que son pertinentes para su

54
00:06:10,690 --> 00:06:16,540
propósito y que afectan su capacidad para lograr los resultados previstos de sus sistemas de gestión

55
00:06:16,540 --> 00:06:18,360
de la seguridad de la información.

56
00:06:18,460 --> 00:06:23,590
Para este propósito esta norma del proceso está basado en el modelo P.

57
00:06:23,590 --> 00:06:24,350
H.

58
00:06:24,470 --> 00:06:24,700
A..