Curso ISO27001

Certificación en seguridad de la información

¿Qué es la norma ISO27001?

La norma ISO 27001 es un estándar internacional que se utiliza para establecer, implementar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI). Esta norma proporciona un marco de referencia para la gestión de la seguridad de la información en una organización y se basa en un enfoque de riesgos que permite a las organizaciones determinar y gestionar los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de sus información y sistemas de información.

Curso auditor interno ISO27001

Categoría de la certificación

Categoría principal:
Estándares ISO

Categoría:
Sistema de Gestión de Seguridad de la Información (ISO 27001:2022)

Subcategoría:
Auditoría Interna

El propósito de la Certificación de ISO 27001 – Auditor Interno es demostrar que el profesional tiene una comprensión práctica de la terminología, estructura, y consideraciones para la definición, implementación, seguimiento y auditoría de un Sistema de Gestión de Seguridad de la Información (SGSI); siguiendo los lineamientos de la norma ISO 27001:2022 (seguridad de la información) y la norma ISO 19011:2018 (auditoría).

Certificación ISO27001 para personas

En el mercado existen dos tipos de certificación ISO27001, una para certificar a las empresas que demuestra que la empresa ha establecido y mantenido un SGSI de acuerdo con los requisitos de la norma ISO 27001 y otra para certificar a personas (individuos). Esta última es la certificación que ofrece ATI Academia, así que como profesional usted podrá certificarse como auditor interno en ISO27001.

Auditor interno ISO27001

Recibe toda la información y detalles del curso ahora mismo.

¡Quiero certificarme!

Requisitos para certificarse como auditor interno ISO27001

Prerrequisitos:
• Ser mayor de edad en tu país de residencia.

• Tener conocimientos básicos de lectura, escritura y aritmética básica: suma, resta, multiplicación y división.

• Lectura y aceptación del Código de ética disponible en la plataforma digital antes de la presentación del examen de certificación.

Código de ética:
Todos los profesionales certificados deben conocer, aceptar y acogerse al código de ética que está disponible para su consulta en la plataforma digital.

Recomendaciones:
Es altamente recomendable que el profesional complete la capacitación formal de ISO 27001:2022 ofrecida por ATI Academia y que únicamente no rinda el examen por su cuenta.

Estructura del curso

A continuación presentamos la estructura del curso, temario, tipo de evaluación, proceso de certificación, dificultad y proceso de renovación de la certificación ISO27001.

Temario Curso ISO27001

Módulo Descripción del trabajo Competencias requeridas
1. Introducción
Identificar y dominar los conceptos básicos y el contexto de la organización, su importancia y aspectos generales para el desarrollo de un SGSI
• Historia, contextualización y estructura de las normas ISO
• Estructura de la familia ISO 27000
• Esquema y proceso de certificación
• Conceptos básicos
• Objeto y campo de aplicación
2. Contexto de la organización
Planificar y ejecutar las actividades de seguimiento y revisión para identificar el contexto de la organización.
• Comprensión de la organización y su contexto.
• Comprensión de las necesidades y expectativas de las partes interesadas.
• Determinación del alcance del SGSI.
• Sistema de gestión de seguridad de la información.
3. Liderazgo
Comprender y determinar si existe liderazgo dentro de la organización para crear un entorno de compromiso frente al SGSI y definir la política de seguridad de la información.
• Liderazgo y compromiso frente a la definición del SGSI.
• Política para la seguridad de la información.
• Roles, responsabilidades y autoridades de la organización frente a la definición del SGSI.
4. Planificación
Definir y evaluar los riesgos asociados al SGSI, y evaluar los objetivos de seguridad de la información con sus respectivos planes para alcanzarlos.
• Acciones para abordar los riesgos y las oportunidades.
• Definición de objetivos de la seguridad de la información.
• Planificación de los cambios.
5. Apoyo /Soporte
Identificar los recursos necesarios para la definición e implementación de un Sistema de Gestión de Seguridad de la Información.
• Recursos
• Competencia
• Toma de conciencia
• Comunicación
• Información documentada
6. Operación
Realizar la evaluación, planificación, implementación y control de todos los procesos involucrados en el logro de los objetivos del SGSI
Planificación y control de la operación.
• Evaluación de riesgos de la seguridad de la información.
• Tratamiento de riesgos de la seguridad de la información.
7. Evaluación del desempeño
Identificar y evaluar las acciones que contribuyan a la mejora continua del SGSI.
• Seguimiento, medición, análisis y evaluación del SGSI.
• Auditoría interna
• Revisión por la alta dirección
8. Mejora
Identificar y evaluar las acciones que contribuyan a la mejora continua del SGSI
• La Mejora continua
• Las No conformidades y acciones correctivas.
Anexo A
Identificar y entender los objetivos de control y controles enumerados en el Anexo A
• A.5 Controles organizacionales
• A.6 Controles de personas
• A.7 Controles físicos
• A.8 Controles tecnológicos
9. Directrices para la auditoría. (Siguiendo los lineamientos de la norma ISO 19011 norma, para llevar a cabo la auditoría de un sistema de gestión)
• Definir, implementar, revisar y mejorar el programa y plan de auditoría.
• Clasificar y elaborar los reportes de hallazgos de la auditoría.
• Elaborar el informe final de auditoría.
• Determinar y evaluar las competencias requeridas por un auditor.
Gestión de un programa de auditoría
Entender claramente las consideraciones y los lineamientos de la norma para llevar a cabo la auditoría.

Realizar la auditoría
Comprende las fases para la realización de una auditoría interna.

Competencia y evaluación de un auditor
Comprender la importancia de evaluar y mantener la competencia del auditor.

Evaluación de las competencias

Realizamos dos tipos de evaluación para garantizar que el profesional cuenta con las competencias requeridas:

1. Preguntas de opción múltiple con única respuesta: esta modalidad de evaluación consiste en preguntas teóricas de opción múltiple única respuesta que buscan medir el grado en el que el profesional ha comprendido los conceptos teóricos de la certificación.

2. Caso de estudio: su estructura es similar a la que tienen las preguntas de las que se habló en el numeral anterior, la diferencia radica en que, en lugar de preguntar por un concepto particular, se presenta la descripción de una situación que tiene lugar en el contexto real y que debe ser analizada por el profesional de tal manera que pueda en primer lugar identificar el problema y posteriormente evaluar cuál de las opciones presentadas refleja la mejor solución a dicha situación problema.

Competencia Preguntas Caso de estudio
Dominar los conceptos básicos y el contexto de la norma ISO 27001:2022.
X
Entender la importancia de comprender el contexto de la organización antes de poner en marcha una iniciativa de definición del SGSI.
X
X
Comprender la importancia del liderazgo y el involucramiento de la alta dirección de la organización, para crear un entorno de compromiso frente a la definición del SGSI .
X
Comprender las consideraciones para llevar a cabo la planificación de la gestión de riesgos y de los objetivos del SGSI.
X
Comprender las consideraciones para llevar a cabo la planificación de la gestión de riesgos y de los objetivos del SGSI.
X
X
Comprender la importancia de implementar y controlar los planes definidos para lograr los objetivos de seguridad de la información.
X
X
Comprender cómo evaluar el desempeño de la seguridad de la información y la efectividad del SGSI, mediante la auditoría interna y la revisión de la alta dirección.
X
Comprender la responsabilidad de la organización frente al mejoramiento continuo de la seguridad de la información, a partir de los hallazgos de auditoría, el seguimiento y la revisión por la alta dirección.
X
Entender claramente las consideraciones y los lineamientos de la norma para llevar a cabo la auditoría.
X
X
Comprende las fases para la realización de una auditoría interna.
X
X
Comprender la importancia de evaluar y mantener la competencia del auditor.
X
X
Identificar y entender los objetivos de control y controles enumerados en el Anexo A.
X

¿Quién debería tomar este examen?

Este examen es ideal para personas o equipos interesados en auditoría interna de seguridad de la información según la norma ISO 27001, o relacionados con un Sistema de Gestión de Seguridad de la Información (SGSI).

Roles como: Oficiales de seguridad de la información, administradores de redes, ingenieros de soporte, auditores, analistas de riesgos en sistemas de información.

Proceso de certificación

El siguiente gráfico, presenta el ciclo de vida general para la obtención de una certificación:

A continuación, se describe cada una de las fases para la obtención de la certificación por primera vez, las fases posteriores a la obtención del certificado (recuadros de borde rojo) serán explicadas más adelante.

1. Solicitud de certificación: el solicitante remite su solicitud de certificación, en la plataforma QuizLab o a través de la empresa aliada (donde el solicitante haya tomado su capacitación). Una vez aprobada la solicitud se procede a la creación del perfil del solicitante en CertMind.

2. Soporte documental: el solicitante debe adjuntar en la plataforma digital su documento de identidad y adicionalmente completar el registro de su hoja de vida.

3. Verificación y aceptación: La plataforma digital verifica el cumplimiento de los prerrequisitos del solicitante, una vez verificados es aceptada la solicitud el postulante y se convierte en candidato para el proceso de certificación.

4. Programación: se procede a realizar la convocatoria para la presentación del examen, directamente en la plataforma digital o a través del soporte de ATI Academia. 

El formato del examen se explica a continuación:

  • Tipo: Examen en línea de 40 preguntas, opción múltiple y única respuesta.
  • Duración: 60 minutos.
  • Nota mínima para aprobar: 28/40 (70%).
  • Tiempo adicional: Si el profesional no presenta el examen en su idioma nativo, contará con 15 minutos adicionales y además se le permite utilizar un diccionario.
  • Supervisión: Se realiza un monitoreo de los exámenes asegurando que se realizan de manera correcta y transparente a través de Invigilator Program (también conocido como “Proctor”).
  • Libro abierto: No.
  • Modalidad: Disponible únicamente en línea en la plataforma digital.
  • Vigencia: 5 años.
  • Otros: Se requiere a todos los postulantes la lectura y aceptación del código de ética de la compañía y términos y condiciones.

5. Obtener el certificado: 
Una vez aprobado en examen y aceptado el contrato de términos y condiciones se hace entrega de la certificación.

Niveles de dificultad: Taxonomía de Bloom

La Taxonomía de Bloom es una teoría conocida en el sector educativo porque muchos docentes la consideran idónea para evaluar el nivel cognitivo adquirido en una asignatura. El objetivo de esta teoría es que después de realizar un proceso de aprendizaje, el aprendiente adquiera nuevas habilidades y conocimientos. La siguiente tabla presenta una descripción de las categorías de la taxonomía de Bloom presentes en el examen de certificación, así como el porcentaje de cada tipo de pregunta dentro del examen.

Módulo Nivel 1 Nivel 2 Nivel 3
Descripción
Conocimiento. Este puede comprender, recordar una amplia gama de elementos, desde datos específicos, hasta teoría completa. Pero todo lo que se necesita es traer a la mente la información apropiada.
Compresión. Esto se puede demostrar pasando o traduciendo, material de una forma a otra (palabras a números), interpretar el material (explicar o resumir), y estimando tendencias futuras (prediciendo consecuencias o efectos).
Aplicación. Hace referencia a la habilidad o capacidad de utilizar el material aprendido en situaciones concretas, nuevas.
Porcentaje de preguntas presente en el examen
50%
30%
20%

Renovación, vigilancia y retiro de la certificación

Esta fase se da luego de que el profesional ha obtenido su certificación. La renovación hace referencia a la reexpedición de la certificación una vez la vigencia de la misma ha llegado a su fin. La vigilancia se refiere a la supervisión que se realiza CertMind al desempeño que realiza el profesional durante el período transcurrido entre la certificación y la recertificación para asegurar el cumplimiento de lo estipulado en el presente esquema de certificación. A continuación, se describen las actividades que debe realizar el profesional certificado con el objetivo de obtener su recertificación:

1. Solicitud de recertificación: antes de que la certificación pierda su vigencia, el profesional certificado remite su solicitud de recertificación, en la plataforma QuizLab. En caso de que la certificación pierda su vigencia, el profesional debe realizar el proceso de certificación nuevamente.

2. Registro de PUC’s: se requiere que el profesional certificado registre 30 PUC’s cada 5 años para la renovación de la certificación. El profesional certificado debe adjuntar los soportes que acreditan las PUC’s en la plataforma digital.

3. Validación de la documentación: la plataforma verifica el cumplimiento de las PUC’s del profesional certificado, una vez verificados es aceptada la solicitud de recertificación.

4. Obtención de la recertificación: una vez validados los documentos se hace entrega de la nueva certificación.

Criterios para la suspensión o retiro de la certificación

La certificación le será retirada al profesional en los siguientes casos:

1. El incumplimiento al código de ética.

2. No cumplir con los requisitos del esquema.

3. Resultados insatisfactorios del proceso de vigilancia.

4. Incapacidad para cumplir de forma continuada los requisitos de competencia del esquema.

Cambios al esquema
de certificación

El esquema de certificación ISO 27001 – Auditor Interno no contempla cambios en el alcance pues actualmente no aplican ampliaciones o reducciones en el alcance o nivel de la misma.