Contacta con nosotros

Temario del curso

ISO/IEC 27002:2022 es la última norma internacional que proporciona pautas de práctica para los controles de seguridad de la información junto con ISO/IEC 27001, para establecer, implementar y mejorar un Sistema de Gestión de Seguridad de la Información (ISMS). Este programa mejorado se alinea con la revisión de 2022 e incorpora la terminología actual de recursos humanos y contratación utilizada en las descripciones de puestos de trabajo en seguridad de la información.

Fundamentos de la Seguridad de la Información, Ciberseguridad y Protección de Datos Personales

  • Fundamentos de la seguridad de la información: confidencialidad, integridad y disponibilidad (triada CIA) en entornos empresariales modernos.
  • Evolución de las amenazas cibernéticas: ransomware, ataques patrocinados por estados, amenazas internas y compromisos en la cadena de suministro.
  • Protección de datos por diseño y alineación regulatoria con el RGPD (GDPR), CCPA y marcos globales de protección de datos.
  • Gobernanza de la información: propiedad, responsabilidad y alineación de los grupos de interés en toda la organización.
  • Gestión de la confianza y el paradigma de arquitectura de confianza cero (zero-trust) en entornos híbridos y basados en nube.

El Marco ISO/IEC 27001–27002 y la Gobernanza del ISMS

  • Ciclo de vida del ISMS según ISO/IEC 27001: Planificar-Hacer-Ver-Actuar (PDCA) y rutas de certificación.
  • Relación entre ISO/IEC 27001 y el catálogo actualizado de controles ISO/IEC 27002:2022.
  • Desarrollo de políticas de seguridad de la información y estructuras de gobernanza de alto nivel.
  • Mapeo del cumplimiento normativo: alineación con NIST CSF, CIS Controls, SOC 2 e HIPAA.
  • Métricas de seguridad de la información, indicadores clave de rendimiento (KPI) e informes de mejora continua.

Controles Organizacionales — El Marco del Grupo de Controles 5

  • Roles y responsabilidades en seguridad de la información, y separación de funciones en los distintos niveles organizacionales.
  • Programas de inteligencia de amenazas y plataformas de gestión de información de seguridad (SIEM, SOAR).
  • Gestión de la postura de seguridad en la nube (CSPM) y cumplimiento con infraestructura como código.
  • Seguridad en redes sociales, dispositivos personales para el trabajo (BYOD) y teletrabajo: gestión de dispositivos móviles y protección de endpoints.
  • Monitoreo, detección de incidentes y gestión de riesgos de terceros en ecosistemas TI complejos.

Controles Humanos — La Fuerza Laboral en Seguridad

  • Concienciación en seguridad, técnicas de cambio de comportamiento y programas de simulación de phishing.
  • Verificación de antecedentes, controles de incorporación y baja en el ciclo de vida laboral con enfoque de seguridad.
  • Resiliencia de la fuerza laboral remota y políticas de acceso seguro para modalidades de trabajo flexibles.
  • Marco de competencias: alineación de la capacitación en seguridad de la información con roles a todos los niveles.
  • Fomento de una cultura priorizando la seguridad y colaboración interfuncional en la gestión de riesgos.

Controles Físicos — Seguridad de Instalaciones y Activos

  • Diseño seguro de instalaciones: seguridad perimetral, sistemas de videovigilancia y controles de acceso físico.
  • Mantenimiento de equipos, garantía de la cadena de suministro y gestión del ciclo de vida de los activos.
  • Seguridad de centros de datos: controles ambientales, redundancia energética y preparación para la recuperación ante desastres.
  • Métodos seguros de eliminación de medios sensibles: estándares de sanitización e integridad de la cadena de suministro.
  • Amenazas físicas emergentes: seguridad de dispositivos IoT y superficies de ataque en edificios inteligentes.

Controles Tecnológicos y Dominios Avanzados de Seguridad

  • Controles criptográficos: gestión del ciclo de vida de claves, PKI y optimización de cifrado impulsada por IA.
  • Seguridad de aplicaciones: SDLC seguro, seguridad de API, integración de DevSecOps y herramientas SAST/DAST.
  • Controles de arquitectura de red: segmentación, microsegmentación, firewalls y sistemas IDS/IPS de nueva generación.
  • Seguridad del correo electrónico: anti-phishing, DMARC/SPF/DKIM y defensa contra el compromiso de correo corporativo (BEC).
  • Inteligencia artificial y aprendizaje automático en ciberseguridad: detección automatizada de amenazas y mitigación de IA adversarial.

Evaluación de Riesgos de Seguridad de la Información y Cumplimiento Normativo

  • Metodologías de evaluación de riesgos alineadas con ISO/IEC 27005: identificación, análisis y evaluación.
  • Planificación del tratamiento de riesgos y declaración de aplicabilidad (SOA).
  • Preparación para auditorías de cumplimiento: coordinación de auditorías internas/externas y auditoría basada en evidencias.
  • Metodologías de pruebas de penetración y ciclo de vida de la gestión de vulnerabilidades.
  • Amenazas emergentes: riesgo de computación cuántica, sostenibilidad ambiental (TI verde) y tecnologías de mejora de la privacidad (PETs).

Preparación para el Examen PECB y Aplicación en el Mundo Real

  • Estructura del examen PECB ISO/IEC 27002 Foundation, dominios de competencia y estrategias de preparación.
  • Casos de estudio de ejemplo: implementación de seguridad de la información en los sectores financiero, salud y tecnología.
  • Creación de una cultura de concienciación en seguridad de la información dentro de su organización después de la certificación.
  • Mantenimiento de la certificación, desarrollo profesional y rutas de carrera para roles en seguridad de la información.

Resumen de la Investigación

El programa actual de dos días está altamente condensado y omite el alcance sustancial de ISO/IEC 27002:2022, que introdujo 93 controles agrupados en cuatro temas (Organizacional, Humano, Físico y Tecnológico), frente a los 114 controles en 14 categorías de la versión 2013. Las tendencias clave en la contratación de seguridad de la información para 2024–2026 incluyen arquitectura de confianza cero, operaciones de seguridad impulsadas por IA, gestión de la postura de seguridad en la nube, integración de DevSecOps, seguridad en la cadena de suministro, tecnologías de mejora de la privacidad, criptografía preparada para la computación cuántica y gestión de riesgos de terceros. Las ofertas laborales de recursos humanos para roles como Analista de Seguridad de la Información, Líder de ISMS, Oficial de Cumplimiento Normativo, Especialista en Ciberseguridad y Gerente de Riesgos exigen consistentemente estas competencias.

Requerimientos

No se requieren requisitos específicos para asistir a este curso.

 14 Horas

Número de participantes


Precio por participante

Reseñas (5)

Próximos cursos

Categorías Relacionadas