Site hosted by Angelfire.com: Build your free website today!
PRESENTACIÓN Y TEMARIOS DE CURSOS PRESENCIALES

• Estos cursos pueden ser organizados en Argentina y otros países de habla hispana.
• Se puede solicitar mayor información a
Cursos



GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACION
Exposición y Taller de Práctica

Desde la emisión de las normas de seguridad de la información ISO 27001 y 27002, se ha venido poniendo en claro su importancia a nivel corporativo en los negocios de una empresa, más allá del recurrente concepto básico de la seguridad informática limitado al área TIC.
Por su parte, la nueva norma ISO 27005 proporciona un importante aporte que fortalece la estrategia auto-consistente de la serie ISO 27k, al establecer cómo se analizan y gestionan los riesgos.
A su vez, la ISO 31000 establece el nuevo concepto de riesgo a nivel corporativo para todo tipo de riesgos..

DURACIÓN
: 16 horas. Exposición y Taller de Práctica.


¿QUIÉNES DEBEN ASISTIR?: • Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones en cuanto a seguridad de la información y su trascendencia en los riesgos de negocios.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología. Administradores de seguridad de la información que deben administrar la gestión de riesgos.
• Auditores informáticos y de sistemas, auditores internos y externos.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Los riesgos organizacionales, operacionales, físicos y de sistemas TIC, y metodologías para su determinación.
• El análisis y gestión de riesgos.
• Los factores que producen la resistencia al cambio frente a la implementación de medidas de seguridad y las bases para un buen manejo de las situaciones, y obtener así resultados consistentes y sustentables.
• La participación activa en un taller realizando 5 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR
Finalizado el curso, los participantes podrán:
• Diferenciar los riesgos organizacionales y operacionales de los técnicos de sistemas TIC.
• Tener un sólido entendimiento de las distintas formas de valuar los riesgos de seguridad..

TEMARIO DE LA PRESENTACIÓN
Aseguramiento y normas de seguridad
• El aseguramiento de la información y el Corporate Governance
• Seguridad de la Información y Seguridad Informática
• Norma ISO 27002
• Norma ISO 27001
• Gobierno de Seguridad de la Información

Métodos de cálculo de riesgos
• Formas de análisis de riesgos
• Cálculo de riesgos por las entidades
• Cálculo de riesgos por las pérdidas
• Graficado de pérdidas, LDA, Valor en Riesgo y Colas anchas
• Riesgos Positivos. Oportunidades
• Variantes del cálculo de riesgos
• Incertidumbre de los riesgos
• Regla de Bayes
• El Factor Gente
• Simulación Monte Carlo
• Decisiones frente a los riesgos determinados
• Riesgo Residual y Salvaguardas
• Proceso de Valuación y Tratamiento de los riesgos
Anexo 1: Probabilidades estadísticas

Normas de riesgos de Seguridad
• Norma de riesgos de seguridad ISO 27005
• Norma de riesgos corporativos ISO 31000
• Mejoras en el cálculo de riesgos

TALLER DE PRÁCTICA
• El Taller consiste en realizar 5 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Análisis Gap de riesgos según ISO 27002
2 - Cálculo de riesgos con metodología de barras y LDA
3 - Cálculo de Riesgo Residual
4 - Prioridades reducción riesgos
5 - Efectividad de la concientización

MATERIAL DE SOPORTE Y LECTURA
1) Material de la Presentación
2) Material del taller (5 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53
• NIST 800-55v1
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• El Factor Gente y la Seguridad de la Información
• Medidas del desempeño y el Balanced Scorecard
• El ROI de la Seguridad y las Primas de seguro
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.


PRIVACIDAD Y PROTECCION DE DATOS PERSONALES
Exposición y Taller de Práctica

La protección de la privacidad se ha vuelto últimamente un tema recurrente a partir de un mayor reconocimiento de los derechos individuales.
Los datos personales se manifiestan en forma más evidente en los archivos, informes y otros documentos en los que se los maneja por distintos motivos, pero que deben atender a la mencionada protección según buenas prácticas y especialmente regulaciones que han venido surgiendo.
Factores de gran importancia en la protección de datos personales son las características de las personas, no sólo en cuanto al conocimiento de las medidas que se hayan establecido sino a la actitud que toman frente a las mismas y el comportamiento en los momentos en que deben ser aplicadas.

DURACIÓN
: 12 horas. Exposición y Taller de Práctica.


¿QUIÉNES DEBEN ASISTIR?
• Personal de las áreas de Seguridad, Sistemas, Recursos Humanos y Legales que necesitan conocer el alcance de las buenas prácticas y regulaciones referidas a la privacidad y protección de datos personales de la información que maneja la empresa.
• Auditores de seguridad, informáticos y de sistemas, auditores internos y externos.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Comprender la naturaleza y necesidades de protección en cuanto a la identificación de datos personales.
• Analizar la relevancia de la valuación de impactos a la privacidad como base de un proyecto de protección a la identificación de las características de las personas.
• Proporcionar el conocimiento y desarrollo de las etapas de un proyecto de protección a la privacidad de los datos personales.
• La participación activa en un taller realizando 3 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Conducir y gestionar el proceso de valuación de impactos a los datos personales.
• Usar o adaptar un modelo de seguridad para la protección de datos personales de diferente índole.
• Desarrollar un checklist de cumplimiento de las medidas de protección de datos personales.

TEMARIO DEL MATERIAL DE ESTUDIO
Conceptos y Características de Privacidad
• Introducción y definiciones
• Conceptos básicos de seguridad

Principios de Privacidad
• Informacicón básica sobre PII
• Principios de Privacidad de la ISO 29100
• Principios de Privacidad de la OECD
• Principios de Privacidad Canadiense

PII, Información de Identificación Personal
• Identificación de un PII
• Confidencialidad del PII y Niveles de Impacto
• Factores para determinar los Niveles de Impacto a la Confidencialidad de un PII
• Requisitos para la salvaguarda de la Privacidad
• Salvaguardas de confidencialidad PII
• Controles de privacidad y seguridad
• Respuesta a Incidentes de infracciones que implican PII

Prevención de Pérdidas de Datos, DLP
• Conceptos básicos
• Identificación de datos
• Evolución de los DLP – Análisis de contenido y contextual
• Arquitectura

PIA
• Conceptos básicos de PIA
• Objetivos de un PIA
• Beneficios de un PIA
• Realización de valuaciones de impacto a la privacidad
• Identificación de la necesidad de un PIA
• Preguntas seleccionadas del Código de Prácticas ICO para la valuación del impacto
• Gestión y pasos del proceso PIA
• Identificación y evaluación de soluciones de privacidad
• Realización del proceso de PIA

Protección de Datos Personales
• Diferencias entre Privacidad y Protección de datos personales
• Principios de Protección de Datos
• Ley Argentina No. 25.326
• Disposiciones de la DNPDP
• Disposición 11/2006
• ISO 27799
• ISO 27789
• Disposición 03/2012

TALLER DE PRÁCTICA
• El Taller consiste en realizar 3 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

DOCUMENTOS SOBRE LOS QUE SE REALIZAN LOS TRABAJOS PRACTICOS
1 - Desarrollar un checklist de cumplimiento a la privacidad y protección de datos en una implementación PII.
2 - Preparación del mapeo de los requisitos del Nivel Crítico de Protección de Datos Personales conforme la Disposición 11/2006 de Argentina a controles de la norma ISO 27002.
3 - Revisión y ampliación de un cuestionario para medir los resultados de un plan de concientización.

MATERIAL DE SOPORTE Y LECTURA
1) Módulos de estudio
2) Material del taller (5 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014 en Inglés
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013 en Inglés
• ISO 27002:2013 en Inglés
• ISO 27005 en Inglés
• ISO 29100 en Inglés
• ISO 31000 en Inglés
• NIST 800-122 Guía para la protección de la Confidencialidad de PII
• Apéndice J, Controles de Seguridad y Privacidad, del NIST 800-53
• Recomendaciones para la protección de datos personales
• Guía para la protección de datos personales
• Guía resumen para la protección de datos personales
• Resumen LOPD
• Resumen del Reglamento LOPD
• LOPD, medidas de seguridad
• Cuadro niveles de seguridad LOPD
• Comparación con LOPD a nivel básico
• Comparación HIPAA con ISO 27002
• Ley argentina 25.326 de Habeas Data
• Disposición argentina 03/2012
• Disposición argentina 11/2006
• Modelo de documento de seguridad
• Diagrama de implementación de un proyecto
• Información de la ISO 27799
• Protección de datos personales en el sector de la salud
• Manual PIA
• Estudio de la privacidad de datos personales y redes sociales
• Mapeado de controles ISO 27002:2013 vs. ISO 27002:2005
• Seguridad Informática vs. Seguridad de la Información
• El Factor Gente y la Seguridad de la Información
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.


IMPLEMENTACIÓN DE LA ISO 27100:2013 Y MIGRACIÓN DE ,LA VERSIÓN 2005
Exposición y Taller de Práctica

La emisión de las nuevas versiones 2013 de las normas ISO 27001 y 27002 trajeron, muy especialmente la primera, modificaciones de importancia en la forma de implementar un SGSI.
Algunas de estas modificaciones responden a una nueva estructura común con otras normas de Sistemas de Gestión corporativas.
Además, en el desarrollo de la ISO 27001 se han incorporado nuevos conceptos y requisitos. Incluso, la medición del desempeño orienta al uso de herramientas como el BSC, Balanced Scorecard.

DURACIÓN
: 8 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Administradores de seguridad de la información que deben administrar la gestión de riesgos e informar a la gerencia media y superior en cuanto a los negocios de la empresa.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Gerentes y Directores de Riesgos que busquen integrar los riesgos de Seguridad de la Información en los riesgos corporativos de una organización.
• Auditores de seguridad y de sistemas, auditores internos y externos.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Los nuevos conceptos propios y derivados de la ISO 31000 de riesgos corporativos.
• Los detalles y requisitos que resultan del nuevo formato común a las demás normas de Sistemas de Gestión.
• Los procesos a seguir en la implementación de un SGSI.
• Los pasos sugeridos para la migración de una implementación 2005 a otra actualizada conforme las versiones 2013.
• La participación activa en un taller realizando 4 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Implantar un SGSI en bases a la versión 2013 de la ISO 27001..
• Implementar los cambios y agregados, así como la conformidad con los nuevos requisitos en un SGSI ya existente bajo la versión 2005.

TEMARIO DE LA PRESENTACION
Antecedentes y soporte para una Implementación
• Integración de la Seguridad de la Información con el Corporate Governance
• Seguridad de la Información y Seguridad Informática
• Gobierno de Seguridad de la Información
• El Factor Gente y su influencia en las implementaciones.
• Evaluación de los planes de Concientización

Implementación de la ISO 27001
• Presentación de las normas ISO 27001 y 27002 versión 2013
• Descripción pormenorizada de la ISO 27001:2013
• Proceso de Valuación y Tratamiento de riesgos

Migración de la ISO 27001:2005 a la versión 2013, y complementos
• Requisitos de implementación del SGSI
• Resumen de los cambios en la implementación de la ISO 27001
• Pasos de la Migración de la ISO 27001 a la versión 2013
• Herramientas para la medición del desempeño
• Conceptos básicos de Auditoría
• Ciberseguridad, Computación en la Nube

TALLER DE PRÁCTICA
• Consiste en realizar 4 Trabajos Prácticos sobre documentos con antecedentes basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares,

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Evaluación de un plan de Concientización
2 - Listado de documentación obligatoria y del índice (declaraciones shall) de requisitos
3 - Auto-evaluación del estado de preparación de la ISO 27001
4 - Tablero de Control del Balanced Scorecard (BSC) y Controles de la norma

MATERIAL DE SOPORTE Y LECTURA 1) Material de la Presentación
2) Material del taller (4 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la versión 2005
• NIST 800-146
• Framework for improving Critical Infrastructure Cybersecurity de NIST
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• El Factor Gente y la Seguridad de la Información
• Medidas del desempeño y el Balanced Scorecard
• El ROI de la Seguridad y las Primas de seguro
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.


METRICAS DE SEGURIDAD DE LA INFORMACION
Exposición y Taller de Práctica

Desde la emisión de las normas de seguridad de la información ISO 27001 y 27002, se ha venido poniendo en claro su importancia a nivel corporativo en los negocios de una empresa, más allá del recurrente concepto básico de la seguridad informática limitado al área TIC.
La nueva norma ISO 27004 proporciona un importante aporte que fortalece la estrategia auto-consistente de la serie ISO 27k, al establecer cómo se mide la eficiencia del sistema de gestión y la efectividad de las medidas de seguridad que se implementen, para reducir no sólo los riesgos técnicos de IT, sino también especialmente los riesgos operacionales, estableciendo todo un marco que comparte la visión corporativa de negocios, especialmente mediante el uso del Balanced Scorecard.

DURACIÓN
: 16 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones en cuanto a seguridad de la información y su trascendencia en los riesgos de negocios.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología. Administradores de seguridad de la información que deben administrar la gestión de riesgos, mensurar las medidas de seguridad y justificar las inversiones correspondientes.
• Auditores informáticos y de sistemas, auditores internos y externos.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• La ISO 27004 para las métricas del SGSI de la ISO 27001 y de la efectividad de los controles implementados.
• Las diferentes formas de verificar el cumplimiento de los objetivos de control y controles implementados de la ISO 27001.
• El mapeado de Objetivos de Control y Controles de seguridad con los Objetivos Operacionales e Iniciativas del Balanced Scorecard.
• La participación activa en un taller realizando 5 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Tener un sólido entendimiento de los diferentes métodos para la determinación y uso de métricas de controles.
• Poder clasificar las verificaciones de eficiencia y efectividad de las medidas de seguridad en el contexto del necesario alineamiento de los objetivos operacionales de seguridad con los objetivos estratégicos a nivel corporativo.
• Comprender la importancia de las oportunidades como riesgos positivos y cómo pueden mensurarse.

TEMARIO DE LA PRESENTACIÓN
Métricas de Seguridad de la Información y Aplicaciones
• Norma de Métricas ISO 27004
• Uso de las métricas en seguridad de la información
• Métricas de controles, metodologías NIST y GQM
• Métricas de objetivos de control
• Madurez de las métricas, modelos SSE-CMM y NIST
• Riesgos positivos. Oportunidades, identificación y métricas
• Nuevos escenarios: Ciberseguridad, BYOD, Big Data e IoT

Desempeño de las Medidas de Seguridad - El Balanced Scorecard, BSC
• Gestión del desempeño de las medidas de seguridad
• Breve Introducción a CSF y KPI
• Presentación del Balanced ScoreCard (BSC)
• Perspectivas del BSC
• Objetivos estratégicos del BSC
• Mapa Estratégico del BSC

Tablero de Control del BSC y Seguridad de la Información
• Tablero de Control o Comando
• Características de los Indicadores del BSC
• Metas e Iniciativas del BSC
• Gestión y Reportes del BSC
• Objetivos Operacionales de Seguridad, Gestión y BSC
• KRI, Indicadores Claves de Riesgos

TALLER DE PRÁCTICA
• El Taller consiste en realizar 5 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Métricas de la efectividad de la concientización
2 - Métricas de Controles ISO 27002
3 - Mapa estratégico y relaciones Causa-Efecto del BSC
4 - Indicadores y Medidas del BSC en función de Métricas
5 - Objetivos de Control y Controles de la ISO 27002 a partir de Objetivos Operacionales de Seguridad

MATERIAL DE SOPORTE Y LECTURA
1) Material de la Presentación
2) Material del taller (5 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53
• NIST 800-55v1
• Controles NIST (De la publicación 800-53r1)
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Hacia un Marco de Medición – GQM (en inglés)
• AHP, Tutorial sobre el Proceso de Análisis Jerárquico (en inglés)
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• El Factor Gente y la Seguridad de la Información
• Medidas del desempeño y el Balanced Scorecard
• El ROI de la Seguridad y las Primas de seguro
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.


AUDITORIA INTERNA DE SEGURIDAD DE LA INFORMACION
Exposición y Taller de Práctica

La auditoría interna en seguridad de la información es un requisito del Sistema de Gestión de Seguridad de la Información conforme la ISO 27001.
Aunque sin el alcance de una auditoría previa a la certificación del SGSI, igualmente la auditoría interna cumple una misión importante no sólo en cuanto al cumplimiento sino al propio respaldo de los detalles de seguridad de una organización.
De hecho se extiende no sólo al SGSI sino también a los propios controles implementados de la norma y a todo lo que hace a riesgos en seguridad de la información.
El auditor interno en seguridad de la información debe ser un especialista en seguridad con los conocimientos correspondientes para una adecuada auditoria de los objetivos de control, controles y el sistema de gestión de seguridad de la información.

DURACIÓN
: 8 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Personal de seguridad de la información.
• Gerentes y personal de Seguridad de la Información..
• Gerentes y personal a cargo de Tecnología de la Información.
• Gerentes de riesgo.
• Personal de los departamentos de Auditoría.
• Consultores

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Una aproximación sistemática a la auditoría interna.
• La participación activa en un taller de implementación realizando 5 trabajos prácticos, con material disponible para proyectos particulares.
• La especialización de los auditores internos de una empresa para que puedan garantizar el estado de la seguridad de la información.
• La participación activa en un taller realizando 3 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Preparar una auditoría adecuadamente conducida.
• Usar listas de chequeo para los diferentes elementos y sistemas de seguridad de la información .
• Asegurar el cumplimiento de las normas internacionales de seguridad de la información.
• Asegurar que la organización pueda demostrar su capacidad de proveer una seguridad de la información gestionada que satisfaga los requerimientos de sus clientes.
• Programar y conducir todas las fases de una auditoría interna.

TEMARIO DE LA PRESENTACIÓN
Bases de una Auditoría Interna
• Conceptos de Auditoría Interna. Conceptos de activos y valuación de riesgos. Metodologías para el análisis de riesgos. Planificación, documentación, evidencias. Guía general de una auditoría, planificación, requerimientos de documentación, evidencias.
• Presentación de las normas ISO 27001 y 27002. Áreas, controles, Declaración de Aplicabilidad. Requisitos de la ISO 27001. Declaración de Aplicabilidad, documentación, Requisitos de la ISO 27001 para la auditoría interna.

Programación de una Auditoría Interna
• Norma ISO 27007 para auditoría del SGSI
• Norma ISO 27008 para conformidad controles IT
• Introducción a la gestión del programa de auditoría. Concepto de activos y valuación de riesgos. Metodologías para el análisis de riesgos.

Implementación de una Auditoría Interna
• Establecimiento del programa de auditoría. Alcance, Políticas de seguridad. Responsabilidades. Periodicidad.
• Implementación del programa de auditoría. Componentes: Cronograma, Reuniones, elaboración de listas de chequeo, identificación de no conformidad y observables. Etapas: Alcance y preauditoría, plan de trabajo, trabajos de campo, análisis, informes y notificaciones.
• Riesgos de una auditoría

TALLER DE TRABAJO
• Consiste en realizar 3 Trabajos Prácticos basados en experiencias reales.

DOCUMENTOS SOBRE LOS QUE SE TRABAJA
1 - Análisis Gap
2 - Auditoría del SGSI
3 - Evidencias y elementos auditables

MATERIAL DE SOPORTE Y LECTURA
1) Material de la Presentación
2) Material del taller (3 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Server audit checklist
• Active Directory audit checklist
• Router audit. checklist
• DNS audit checklist
• Cloud checklist
• Documentación necesaria para certificar la ISO 27001
• Mapeado de controles ISO 27002:2013 vs. ISO 27002:2005
• Hacia un Marco de Medición – GQM (en inglés)
• AHP, Tutorial sobre el Proceso de Análisis Jerárquico (en inglés)
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• El Factor Gente y la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.

PROFESOR: Ing. Carlos Ormella Meyer
Ha sido Profesor Universitario de Grado y de Maestría.
Es consultor, analista y auditor interno en seguridad de la información, análisis y gestión de riesgos, protección de datos personales, cumplimiento/certificación de normas ISO 27002/ISO 27001, con especial dedicación en los últimos años a la determinación y uso de:
• Métricas para controles ISO 27002 en base a las métricas de controles NIST
• Valuación de los resultados de los planes de concientización/capacitación bajo los criterios del conocimiento, actitud y comportamiento.
• Objetivos y métricas del tablero del control del Balanced Scorecard para medir la efectividad de las medidas de seguridad así como también la evolución en el tratamiento de observables en una auditoría interna.
• La regla de Bayes para la combinación de datos históricos cuantitativos y estimaciones subjetivas de expertos en los cálculos del ROI de la Seguridad, ROSI.
• Redes Bayesianas para la valuación de riesgos operacionales, especialmente para las entidades financieras que deben dar cumplimiento a los acuerdos de Basilea II y III.
Especializado también en la gestión de cambios organizacionales, implementación de medidas de seguridad en sistemas de Continuidad de Negocios, para tratamiento de Riesgos Operacionales en entidades financieras según Basilea II/III, y conformidad Sarbanes-Oxley. Asimismo se desempeña en trabajos de evaluación económica-financiera y administración de proyectos de seguridad.
Desde hace más de 30 años ha venido participando en Venezuela y Argentina en la implementación y dirección de sistemas de telecomunicaciones por microondas terrestres y satelitales, sistemas de control de estaciones no atendidas, teleproceso, acceso remoto, LAN, WAN, LANs Inalámbricas, sistemas de seguridad de la información, y planes de continuidad de negocios y de contingencia.
Desde 1985 viene dictando cursos y conferencias en Argentina, Venezuela, El Salvador, Ecuador, Perú y Paraguay.
Ha sido editor de la revista LAN & WAN donde ha publicado más de un centenar de artículos de tecnología.
Últimamente viene vertiendo sus experiencias en notas y artículos en páginas Web y comunidades como Criptored (www.criptored.upm.es/paginas/docencia.htm).
Es miembro de LinkedIn y participa activamente en grupos profesionales de la especialidad.


SEGURIDAD DE LA INFORMACIÓN EN LOS NUEVOS ESCENARIOS DE NEGOCIOS
Exposición y Taller de Práctica

Las tendencias modernas de la mano de la tecnología han abierto nuevos escenarios de negocios.
Aquí podemos mencionar la Computación en la Nube, BYOD (Traiga su Propio Dispositivo), Big Data, e IoT (Internet de las Cosas).
Precisamente por la novedad de estos escenarios se necesita en primer lugar un claro conocimiento de las características y usos correspondientes.
Además, estos escenarios presentan problemáticas de seguridad diferentes a las conocidas anteriores.
Los requisitos que se imponen de esta manera deben tratarse con medidas especiales y controles apropiados, incluso específicos para estos escenarios.

DURACION: 16 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Administradores y personal de seguridad de la información.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Personal gerencial de las áreas de nuevos negocios corporativos.
• Personal de Marketing
• Auditores de seguridad y de sistemas, auditores internos y externos.
• Consultores

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Las características de los nuevos escenarios de negocios.
• Las medidas de seguridad de la información en los nuevos ambientes.
• Las herramientas que complementan controles normativos y exigencias propias de los nuevos escenarios.
• La participación activa en un taller realizando 2 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Tener un claro conocimiento de las nuevas tendencias en los negocios corporativos.
• Poder discernir las herramientas de complementación en los nuevos escenarios.
• Comprender las cuestiones propias de seguridad y privacidad de la información.

TEMARIO DE LA PRESENTACIÓN
I - Computación en la Nube
• Modelos de servicios y de implementación.
• SIEM, Inteligencia de Amenazas. APT, Amenazas Avanzadas Persistentes
• Normas ISO de seguridad: ISO 27001/2, y otras normas ISO específicas.
• Herramientas complementarias: CSF de NIST, CCM de CSA., y Controles críticos de SANS
• SLA, Acuerdos de Nivel de Servicios

II - BYOD, Traiga su propio Dispositivo
• Modalidades de uso de móviles en una empresa. Gestión centralizada y descentralizada
• Objetivos de seguridad y Escenarios de amenazas, Sandbox
• Requisitos de seguridad, MDM

III - BIG DATA
• Parámetros, Indicadores Medidas básicas de seguridad
• Analítica de Datos, uso de SIEM
• Big Data, exigencias. Hadoop
• Analítica de Big Data y SIEM. NoSQL, Bases de Datos Nó Sólo SQL

IV - IoT, Internet de las Cosas
• Conceptos básicos y aplicaciones. Sensores RFID.
• Conectividad entre dispositivos, protocolos. Internet 0. Nuevos protocolos.
• Internet Industrial de las Cosas, IIoT. Protocolos MDM. Infraestructuras críticas. Aplicaciones con IoT. • Requisitos de Seguridad. Consideraciones de Privacidad, Clasificación. ISPC, recomendaciones OTA. El caso Facebook

Anexos
1 - Inteligencia de Amenazas
2 - APT, Amenazas Persistentes Avanzadas
3 - Hadoop
4 - NoSQL, Bases de Datos No Sólo SQL

TALLER DE PRÁCTICA
• El Taller consiste en realizar 2 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Controles ISO 27001 para cuestiones básicas de seguridad en el Ciberespacio, y controles complementos del CSF de NIST.
2 - Preparación de un informe sobre bases de datos SQL y NoSQL, y una tabla con productos NoSQL incluyendo características y diferencias

MATERIAL DE SOPORTE Y LECTURA
1) Material de la Presentación
2) Material del taller (2 documentos para los Trabajos Prácticos)
3) Otros archivos:
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53Ar4
• NIST 800-55v1
• NIST 800-122
• NIST 800-124
• NIST 800-144
• NIST 800-145
• NIST 800-146
• CSF de NIST
• CCM de CSA
• CAIQ de CSA
• Controles críticos de SANS
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• El Factor Gente y la Seguridad de la Información
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su
mensaje a Nancy Clark Cedeño.


COMPUTACIÓN EN LA NUBE Y CIBERSEGURIDAD
Exposición y Taller de Práctica

La cada vez mayor tendencia a las plataformas en la nube trae consigo una cantidad considerable de consideraciones y nuevos riesgos a la seguridad de la información.
Muchas de las medidas de seguridad necesaria pueden concretarse por medio de los controles de la ISO 27001:2013, conforme el marco de trabajo de la ISO 27032.
El manejo de incidentes por medio de SIEM es otra funcionalidad a considerar en su proyección al ciberespacio.
Los controles de la ISO 27001/27002 pueden complementarse con ventaja aplicando estándares como es del Marco de Trabajo de Seguridad en la Nube, CSF, de NIST, la Matriz de Controles en la Nube, CCM, de CSA, así como con las medidas de controles críticos de SANS.

DURACIÓN
: 16 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Administradores de seguridad de la información que deben administrar la gestión de seguridad en la nube, y establecer y mantener las relaciones con los proveedores de servicios de computación en la nube.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones de una computación segura en la nube.
• Auditores de seguridad y de sistemas, auditores internos y externos.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Las principales características de los servicios en la Nube.
• La problemática de seguridad en la Nube.
• El trabajo con las relaciones de controles ISO 27001 con los de otros estándares y herramientas.
• El aporte de SIEM en el control de la seguridad en la nube
• La participación activa en un taller realizando 4 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Complementar los controles de la ISO 27001 con mejoras y controles de otras herramientas de ciberseguridad.
• Aplicar las diferentes estrategias de seguridad en ambientes BYOD.

TEMARIO DE LA PRESENTACIÓN
Normas de Seguridad e Introducción a la Computación en la Nube
• Seguridad de la Información, Seguridad Informática y Ciberseguridad.
• Introducción a las normas de Seguridad de la Información
• Gobierno de la Seguridad de la Información.
• Introducción a los Riesgos de Seguridad.
• Revisión de las metodologías de Métricas
• El Factor Gente
• Evaluación de los planes de Concientización.
• Introducción a la Computación en la Nube
• Cuestiones básicas de Seguridad en la Nube

Seguridad en la Nube
• Amenazas a la seguridad en la Nube
• Valuación de riesgos
• Encriptado
• Almacenamiento
• Cuestiones pendientes de Seguridad
• Seguridad en los SLA de Computación en la Nube

Herramientas de control para la Nube
• Manejo de incidentes, SIEM
• Normas ISO para computación en la Nube
• Serie NIST 800-144/145/146
• CSF de NIST
• CCM de CSA
• Controles críticos de SANS

TALLER DE PRÁCTICA
• El Taller consiste en realizar 4 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Controles ISO 27001 en Ciberespacio.
2 - Complementación de controles del CSF de NIST con controles ISO 27001/27001.
3 - Complementación de controles del CCM de CSA con controles ISO 27001/27001.
4 - Mapeado controles SANS a controles ISO 27001

MATERIAL DE SOPORTE Y LECTURA
1) Material de la Presentación
2) Material del taller (4 documentos para los Trabajos Prácticos)
3) Otros archivos:
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 17788:2014 en inglés
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53
• NIST 800-55v1
• NIST 800-144
• NIST 800-145
• NIST 800-146
• CSF de NIST
• CCM de CSA
• CAIQ de CSA
• Controles críticos de SANS
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• El Factor Gente y la Seguridad de la Información
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.


FIRMA DIGITAL Y FACTURA ELECTRONICA

Las leyes de firma digital abren múltiples posibilidades a operaciones comerciales y administrativas.
Algunas diferencias con las firmas manuscritas imponen una adecuada revisión de las cuestiones legales que se suscitan.
Los certificados digitales y la infraestructura que requieren son el soporte necesario para las firmas digitales.
Pero, además, constituyen la base de una gran cantidad de aplicaciones en diferentes áreas que van desde la Factura Electrónica, con todas las ventajas operativas que implican, hasta la encripción y firma digital selectiva dentro de un mismo documento.

DURACION 8 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Personal superior y funcionarios que necesitan conocer las metodologías especialmente para el resguardo de la información en mensajes de correo electrónicos y documentos.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología. Administradores de seguridad de la información que deben administrar los sistemas y las aplicaciones correspondientes.

OBJETIVOS
Reconocer, revisar, analizar y articular:
• Una serie de cuestiones respecto de la Firma Digital y los Certificados Digitales que le dan sustento.
• Los principales detalles de la generación y uso de las Facturas Electrónicas en Argentina, que pueden extenderse a otros países con legislaciones similares.
• La participación activa en un taller contestando y discutiendo preguntas de auto-evaluación correspondientes a los temas desarrollados.

METAS A ALCANZAR
Finalizado el curso, los participantes podrán:
• Tener una idea clara de las diferentes formas de aplicación de las Firmas Digitales.
• Conocer las principales características de la Factura Electrónica.

TEMARIO DE LA PRESENTACION
FIRMAS DIGITALES
• Introducción a la despapelización de oficinas: sistemas de imaging y firma digital.
• Firma manuscrita. Firma electrónica y firma digital. Tipos de Firma Electrónica.
• Seguridad en transacciones electrónicas, encripción, funciones de autenticación.
• El proceso de firma digital, claves y certificados digitales.
• Extensiones de seguridad, protocolos de transporte.
• Certificados digitales, formato, contenido.

PKI, INFRAESTRUCTURA DE CLAVES PUBLICAS
• Sistemas PKI. Componentes, autoridad de certificación y autoridad de registro, emisión de certificados digitales, clases de certificados digitales.
• Administración PKI. Requisición de certificados, almacenamiento y publicación, revocación, certificación cruzada, generación de claves y módulos inteligentes, recuperación de claves, sellado de fecha y hora.
• Riesgos de seguridad de una PKI, verificación de certificados, claves privadas.

LEGISLACION Y NORMATIVAS
• Aspectos básicos de la ley y reglamentación de la Firma Digital Argentina.
• Ordenamiento en Argentina. Ente administrador. Certificadores, normas de licenciamiento, certificadores licenciados y no licenciados.
• Tipos de Certificados Digitales, validez de las firmas.
• El No Repudio y la Carga de la Prueba; los casos de la firma digital y la firma electrónica.

APLICACIONES DE FIRMA DIGITAL
• El XML en documentos: firmas digitales múltiples y encriptado selectivo de datos. Firma XML, XML canónico, administración de claves XKMS, extensiones de autenticación con SAML, acceso común de comunicaciones SOAP. Encriptado XML.
• Soporte de sistemas operativos.
• Aplicaciones generales. E-procurement, subasta inversa. Portales PKI, PKI inalámbrica. Outsourcing.

FACTURACION ELECTRONICA
• Factura electrónica, beneficios, formato, contenido, archivos, transmisión.
• El régimen AFIP de Factura Electrónica, registro, operación, validación CAE.

SISTEMAS DE COMERCIO ELECTRONICO
• Transacciones comerciales seguras. Integración en sistemas de gestión. Sistemas de e-commerce.
• EDI, características, difusión, limitaciones
• EDI por Internet, EDIINT y XML/EDI
• El ebXML

TALLER DE PRÁCTICA
• El Taller consiste en responder y discutir una serie de Preguntas de Auto-evaluación correspondientes a los temas desarrollados.

MATERIAL DE LECTURA Y SOPORTE
1) Material del taller (Preguntas de Auto-evaluación)
2) Otros archivos
• Ley 25506 Ley de Firma Digital
• Decreto 2628/2002 reglamentario de la ley 25506
• Resolución General 1361/02
• Resolución General 1956/05
• Resolución General 2485/2008
• Resolución General 3749/15
• Preguntas y Respuestas Frecuentes Resolución General 3749/15
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su
mensaje a Nancy Clark Cedeño.


ROSI
El ROI de la Seguridad de la Información
Exposición y Taller de Práctica

Nunca ha sido simple estimar el retorno de una inversión de seguridad por lo que se volvió usual recurrir al FUD: Temor, incertidumbre y duda.
Y, de hecho, promoviéndose los llamados Penetration Tests. Pero todo eso hoy no basta para "vender" un proyecto de seguridad de la información.
ROSI es la herramienta adecuada para mostrar valores posibles que justifiquen tal inversión, sobre todo cuando se recurre a simulaciones como Monte Carlo que permite transformar criterios cualitativos de probabilidades en estimados cuantitativos razonables de beneficio-costo de seguridad.

DURACION: 16 horas. Exposición y Taller de Práctica.
.
¿QUIÉNES DEBEN ASISTIR?: • Jefes y líderes de proyecto de las áreas de Tecnología y Sistemas.
• Administradores y auditores de seguridad y sistemas.
• Gerentes y personal especializado del área de Administración, Finanzas y Organización y Métodos.
• Auditores internos.
• Profesores universitarios y personal docente de carreras de negocios y tecnológicas.
• Consultores

OBJETIVOS
Reconocer, revisar, analizar y articular:
• Proporcionar al profesional de tecnología los conceptos económicos básicos de inversión, costos y gastos que permitan evaluar y justificar sus proyectos de seguridad.
• Ofrecer al profesional de formación administrativa/financiera una forma sustentable de evaluar proyectos de seguridad informática.
• Presentar las diferentes maneras de calcular el ROSI, como Retorno Sobre la Seguridad de la Información.
• Revisar las soluciones estadísticas a estimaciones de riesgos de seguridad en especial la simulación Monte Carlo.
• La participación activa en un taller realizando 4 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR
Finalizado el curso, los participantes podrán:
• Tener claro los conceptos de inversión, costos y gastos.
• Identificar y reconocer los diferentes factores que dan soporte al cálculo de ROSI: indicadores financieros, riesgos, toma de decisiones, estadística y simulación Monte Carlo.
• Identificar y aplicar los costos indirectos y las pérdidas de oportunidad.

TEMARIO
CONCEPTOS BASICOS DE ROSI
• Problemática y estrategias.
• ROI y su extensión al ROSI. Reducción de pérdidas, salvaguardas. Retorno, valor y costo de las salvaguardas

MODULOS DE SOPORTE
1 - Economía y Finanzas
• Indicadores financieros. Valor actual y valor futuro del dinero, flujo de caja, tasa de descuento. Valor Actual Neto, VAN.
2 - Estadística
• Variables aleatorias. Probabilidades, histogramas, acumulación.
• Distribución de probabilidades, parámetros y tendencias. Distribución normal o gaussiana.
3 - Toma de decisiones
• Pérdida de oportunidad, incertidumbre y riesgo.
4 - Riesgos
• Análisis de riesgo. Métodos cualitativos y cuantitativos. Riesgos y pérdidas. Expectativa de pérdidas anualizadas, ALE. Impactos y frecuencia anual de ocurrencia.
• Diagrama de barras, polígono de frecuencias. Distribución de Pérdidas, LDA, Pérdidas esperadas y no esperadas. Valor en Riesgo, VaR. El problema de las Colas.
5 - Simulación Monte Carlo
• Incertidumbre y simulación de las condiciones aleatorias.
• Características. Generación de números aleatorios. Muestras.Variables de entrada. Ley de los Grandes Números.

APLICACIÓN EN ROSI
• Valor y costo de las salvaguardas. Gastos recurrentes, costos indirectos. Forma valorizada, VAN/VPN.
• Análisis de ROSI con valores fijos.
• Aplicación de distribuciones estadísticas y Simulación Monte Carlo.
• Aporte del Balanced Scorecard (BSC) en las verificaciones de las medidas del ROSI.

TALLER DE PRÁCTICA
• El Taller consiste en instalar el programa de simulación XLSim y realizar 4 Trabajos Prácticos sobre dichos documentos.

DOCUMENTOS SOBRE LOS QUE SE TRABAJA
1 - Instalación del XLSim
2 - Análisis de Riesgos y ROSI de un proyecto de seguridad con variables de valores determinados.
3 - Análisis y revisión de Riesgos y ROSI de un proyecto de seguridad con variables estadísticas por medio de la simulación Monte Carlo.
4 - Determinación de valores para el 10% y 90%, valores más frecuentes, dispersión, sesgo y percentiles; determinación del VaR, y valores de la cola.
5 - Cambiar la escala de los impactos; triangular continuo en 6 escalas de 2x2 de 2,5 K a 10M, y de 2x2,5 de 1K a 15,6 M. Comparar los resultados con los obtenidos en la Práctica número 2.

MATERIAL DE LECTURA Y SOPORTE
1) Material del taller (5 documentos de trabajo)
2) Material del taller - Trabajos Prácticos resueltos
3) Otros archivos
• Software XLSim
• ISO 27001 en Español
• ISO 27002 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27004
• ISO 27005
• ISO 31000
• ISO 31010
• Diagrama de Implementación ISO 27001
• Calculador estadístico
• Foro de Gestión
• Hacia un Marco de Medición – GQM (en inglés)
• Normas ISO de Seguridad de la Información – Abstract
• Cuadro de Objetivos de Control y Controles de la ISO 27002:2005
• El ROI de la Seguridad y las Primas de seguro
• El Factor Gente y la Seguridad de la Información
• Análisis FODA – Muestra
• Medidas del desempeño y el Balanced Scorecard
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos y Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su
mensaje a Nancy Clark Cedeño.


BASILEA II Y III
GESTION DE RIESGOS OPERACIONALES
Exposición y Taller de Práctica

El Acuerdo de Capitales Basilea II, cuyo cumplimiento está previsto para todos los bancos con operaciones internacionales, establece diferentes formas para calcular el capital inmovilizado que deben mantener ante los riesgos crediticios, de mercado y operacionales.
Por su parte, Basilea III introduce cambios más estrictos aunque se disponen de varios años para su entrada en vigencia.
Los riesgos operacionales juegan un papel importante en el monto regulatorio, que puede reducirse gracias a una adecuada gestión de riesgos.
La Seguridad de la Información bajo las normas ISO 27002/27001 es una herramienta clave para la gestión de una gran parte de los riesgos operacionales, como componentes del capital a inmovilizar.

DURACION:16 horas

¿QUIÉNES DEBEN ASISTIR?:
• Directores, staff de asesoramiento de directores, ejecutivos y alta gerencia
• Analistas de planificación estratégica y negocios.
• Personal bancario de alto y mediano rango.
• Gerentes y analistas de riesgos.
• Gerentes y cuadros medios de Seguridad y Sistemas
• Auditores internos

OBJETIVOS
Reconocer, revisar, analizar y articular:
• Los Pilares de Basel II y los cambios producidos incluyendo los de Basel III..
• Los 10 Principios de las “Sound Practices” para la gestión y supervisión de los riesgos operacionales.
• La seguridad de la información basada en las normas ISO 27002/27001 como herramienta clave para la gestión de los riesgos operacionales.
• La efectividad de la gestión de riesgos operacionales.
• La participación activa en un taller realizando 6 trabajos prácticos con material disponible para proyectos particulares.

METAS A ALCANZAR
Finalizado el curso, los participantes podrán
• Acopiar el conocimiento y aplicación de los Principios que rigen el Acuerdo de Capitales Basilea II y III.
• Reconocer las diferentes formas, alcance, características y tratamiento de los riesgos operacionales.
• Conocer cómo se redactan e implementan los controles y procedimientos para controlar la confidencialidad, integridad y disponibilidad de los datos de los datos y transacciones financieras, conforme Basel II.

TEMARIO DE LA PRESENTACION
El Acuerdo de Capitales Basilea
• Conceptos básicos. Tipos de riesgo. Riesgos crediticios y de mercado como base histórica del Acuerdo de Basilea. Los riesgos operacionales. El Corporate Governance.
• Estructura de Basilea II. Pilares: Requerimientos mínimos de capital.
• Definiciones. Capital primario, activos ponderados en función del riesgo. Capital del segundo y tercer nivel. Capital regulatorio.
• Las ocho líneas de Negocio.
• Riesgo Crediticio. Medición: Método Estándar. Método de calificaciones internas, IRB básico y avanzado.
• Riesgo de Mercado. Método estándar. Modelos internos, pérdidas esperadas y no esperadas, VaR.
• Basilea III. Cambios en el Capital Mínimo, Margen de Conservación y Anticíclico., Apalancamiento y liquidez. Comparación con Basilea II.

Riesgos operacionales
• Riesgo Operacional. Eventos, incidentes. Tipos de eventos. Pérdidas en relación con líneas de negocio.
• La problemática del fraude. Prevención, detección y respuesta.
• El Banco Internacional de Pagos, BIS. Principios del BIS de las “Sound practices” para la gestión y supervisión de los riesgos operacionales.
• Metodologías de medición.
• Indicador Básico, ingresos brutos, factor alfa.
• Método Estándar. Líneas de negocio y factor beta. Método Alternativo y factor “m”.
• AMA, Aproximación de Mediciones Avanzadas. Metodologías cualitativas y cuantitativas.

Medición de Riesgos Operacionales con el método AMA.
• Métricas de riesgos operacionales. Probabilidad de ocurrencia y severidad o impacto.
• Métodos cualitativos: Autovaluación, Auditoría de riesgos, Indicadores Claves de Riesgo, KRI.
• Métodos cuantitativos: IMA, Análisis de escenarios, Tablero de control del BSC, LDA, Regla de Bayes y redes bayesianas.

Otras temáticas que manejan riesgos operacionales
• Riesgos operacionales de seguridad.. Riesgos y métricas. Tablero de control del BSC aplicado a la seguridad.
• La continuidad de negocios y los riesgos operacionales, limitación de las pérdidas por interrupciones en las operaciones. Normas. Respuestas a emergencias.

TALLER DE PRACTICA
• El Taller consiste en realizar 6 Trabajos Prácticos.

Documentos con los que se trabaja
1 - Capital Regulador, cálculo y análisis para su reducción
2 - Cálculo de Pérdidas No Esperadas y VaR con el método LDA
3 - Valuación de actividades con KRI
4 - Cálculo de probabilidades con redes bayesianas y toma de decisiones con diagramas de influencia.
5 - Métricas de la efectividad de la concientización
6 - Análisis y redacción de controles para el control de cambios

MATERIAL DE SOPORTE Y LECTURA
1) Material del taller (6 documentos de trabajo e instrucciones para el calculador estadístico)
2) Otros archivos
• Basel Sound Practices
• International Convergence
• Operational Risk - Consultative Document
• Glosario Basilea
• Técnicas cualitativas para la gestión del riesgo operacional
• MSBNx software Microsoft de redes bayesianas
• BNT software de redes bayesianas
• Elvira software de redes bayesianas
• Using LDA Approach for Measuring Operational Risk
• Quantifying Operational Risk
• Bayesian Nets Microsoft setup
• Redes Bayesianas y Riesgo Operacional
• Basel II and Information Security
• ISO 27001:2005 en español
• ISO 27002:2005 en español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27004
• ISO 27005
• ISO 31000
• ISO 31010
• Normas ISO de Seguridad de la Información – Abstract
• El Factor Gente y la Seguridad de la Información
• Medidas del desempeño y el Balanced Scorecard
• Hacia un Marco de Medición – GQM (en inglés)
• AHP, Tutorial sobre el Proceso de Análisis Jerárquico (en inglés)
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• Principios del Banco Internacional de Pagos (BIS)
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos y Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Presentación del Nuevo Acuerdo de Capitales Basilea II
• Preguntas y Respuestas ROSI, el ROI de la Seguridad

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su
mensaje a Nancy Clark Cedeño.


CÓMO GESTIONAR LA CONTINUIDAD DE NEGOCIOS
Taller de trabajo con aporte de la seguridad en la gestión de riesgos por interrupciones

La continuidad de las operaciones de una empresa depende en gran parte de la concientización de la alta gerencia respecto de potenciales desastres, así como de su habilidad para desarrollar y gestionar un plan que minimice las interrupciones de las funciones críticas y la capacidad de recuperación rápida y eficiente de las operaciones correspondientes.
El análisis de los impactos y la valuación de riesgos constituyen dos de las herramientas básicas de la gestión de continuidad de los negocios, apoyado entre otros por planes de recuperación de servicios IT y recuperación de desastres.
Otro punto importante es el adecuado balance de la relación costo-beneficio en cuanto a la elección de las estrategias de gestión de riesgos e impactos.

DURACION:: 16 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones en cuanto a la gestión de continuidad de negocios y su trascendencia en los riesgos de negocios.
• Gerentes y cuadros medios de las diferentes áreas de una empresa y Administradores de Riesgos que deben administrar la gestión de riesgos ante posibles interrupciones adoptando las medidas preventivas y correctivas correspondientes.
• Auditores internos y de sistemas

OBJETIVOS
Reconocer, revisar, analizar y articular:
• Aspectos de la gestión de continuidad de negocios.
• El alcance de los conceptos de emergencia, desastres y gestión de crisis.
• Las diferentes fases de un plan de continuidad de negocios.
• Los riesgos, impactos en los procesos de negocios y necesidades de recuperación ante interrupciones que afecten las operaciones de una empresa.
• Las áreas de las normas de seguridad de la información que involucran la continuidad de negocios.
• La participación activa en un taller realizando 5 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR
Finalizado el curso, los participantes podrán:
• Poder diferenciar claramente procesos de negocio y funciones de soporte, y las criticidades correspondientes.
• Establecer la mejor manera de clasificar los procesos de negocios y los objetivos de tiempos de recuperación frente a disrupciones en los servicios correspondientes.
• Reconocer la importancia de la gestión de cambios en la continuidad de las operaciones.
• Análisis de riesgos en situación de interrupción de las operaciones.
• Identificar y establecer las medidas preventivas y correctivas que reduzcan el efecto de los impactos en las operaciones de negocios.
• Conocer cómo se redactan los procedimientos para controlar los distintos aspectos que hacen a la continuidad de negocios y recuperación de desastres.

TEMARIO DE LA PRESENTACIÓN
INTRODUCCIÓN
• Continuidad de negocios. Gestión de Continuidad de Negocios, BCM. Principios del BCM.

NORMA 22301
• Estructura. Guía ISO 73. Requisitos para el establecer un SGCN.
• Relación con la ISO 27001. Integración con otros sistemas de gestión, auditorías combinadas.
• Importancia y componentes claves del SGCN.
• Ciclo PDCA y cláusulas de la norma.
• Contexto de la organización. Reconocimiento. Partes interesadas. Alcance del SGCN.
• Liderazgo. Compromiso gerencial. Política. Roles, responsabilidades y autoridades.
• Planificación. Riesgos y oportunidades. Objetivos de continuidad de negocios.
• Soporte. Competencia. Concientización. Comunicación. Documentación obligatoria.
• Operación. Análisis de impactos en los negocios. Valuación de riesgos, ISO 31000. Estrategia, requerimientos. Procedimientos, Respuesta a incidentes. Prevención y comunicación. Planes de Continuidad de negocios. Recuperación. Ejercicios y pruebas.
• Evaluación del desempeño. Monitoreo, medición análisis y evaluación. Auditoría interna. Revisión gerencial.
• Mejoramiento. No conformidades y acciones correctivas.

APORTE DE LA ISO 22399
• Recomendaciones para la preparación ante incidentes y gestión de continuidad operacional.
• Antecedentes, BSI 25999-1
• Complementación de la ISO 22301 en ciertos aspectos de la implementación del SGCN
a) Procedimientos de Análisis de Impactos
b) Preparación y comunicaciones ante incidentes
c) Programa de gestión de respuesta a incidentes.
d) Pruebas y Ejercicios
e) Autovaluación del SGCN
f) Consideraciones sobre la cadena de aprovisionamiento
g) Embebido en una organización de una cultura de continuidad de negocios

EL FACTOR GENTE
• La resistencia a los cambios.
• Conocimiento, actitud y comportamiento.
• Comunicación. Participación, compromiso y responsabilidad. Cultura corporativa.

TALLER DE TRABAJO
• El Taller consiste en realizar 5 Trabajos Prácticos.
1 - Desarrollo de una Política de BCM.
2 - Desarrollo de un BIA de IT de un Plan de Recuperación.
3 - Métricas de la efectividad de la concientización.
4 - Chequeo de Gestión de Continuidad de Negocios.
5 - Valuación/Auditoría del estado de un BCM.

MATERIAL DE SOPORTE Y LECTURA
• Material del taller (5 documentos de trabajo)
• ISO 22301
• ISO 22320
• ISO 22399
• ISO 27001 en Español
• ISO 27002 en Español
• ISO 27001:2013
• ISO 27003:2013
• ISO 31000
• ISO 31010
• How to Deploy BS 25999
• Good Practices Guidelines del BCI
• NIST 800-34
• NFPA 1600
• Preguntas y Respuestas de Continuidad de Negocios
• Listado de Amenazas
• Listado Básico de Vulnerabilidades
• Roles y Responsabilidades del Directorio y Alta Gerencia
• BS 25999-1 Draft
• BS 25999-2 Draft
• ¿Análisis de Impactos o Valuación de Riesgos?
• Medidas del desempeño y el Balanced Scorecard
• AHP, Tutorial sobre el Proceso de Análisis Jerárquico (en inglés)
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su
mensaje a Nancy Clark Cedeño.


¿CÓMO SE PREPARA UN PROYECTO A NIVEL GERENCIAL?
El caso del Business Case de Seguridad

El análisis de un proyecto a nivel corporativo se hace con ventajas bajo el enfoque del llamado business case o caso de negocios, que va más allá de un plan financiero.
Este curso presenta una serie de interrogantes donde cada respuesta busca contribuir a la preparación, apuntalamiento y potenciamiento de un business case para ser presentado a decisores y a la alta gerencia, y lograr su aprobación.
Como caso especial, se revisa un proyecto de seguridad que, si bien tiene una parte técnica importante, necesita complementarse con un enfoque como el del business case adecuado a la alta gerencia.

DURACION: 16 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Gerentes y cuadros medios.
• Gerentes de Sistemas, Computación y Tecnología, y Administradores de seguridad de la información.

OBJETIVOS
Reconocer, revisar, analizar y articular:
• Una serie de cuestiones respecto del aseguramiento de la información y las respuestas correspondientes.
• La participación activa en un taller realizando 5 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR
Finalizado el curso, los participantes podrán:
• Tener una idea clara de cómo preparar y presentar un proyecto, incluyendo de seguridad.

OBJETIVOS
• Capturar el conocimiento del estado actual y el que se busca con la solución.
• Comunicar en forma consistente el análisis de la propuesta y lograr su aprobación y la provisión de fondos.
• La participación activa en un taller realizando 5 trabajos prácticos, con material disponible para proyectos particulares.

TEMARIO DE LA PRESENTACION
• Durante la Presentación se intercalan Preguntas de Auto-evaluación y Tareas participativas de clase.

EL BUSINESS CASE GERENCIAL
• Conceptualización. Detalle. Análisis económico y Retorno.

Cuestiones Planteadas
1) ¿Qué es el Business Case?
• Propuesta y decisión.
• ¿Qué no es un business case?

2) ¿En qué se diferencia un Caso de Negocios de un Plan de Negocios?
• Enfoques y diferencias.

3) ¿Cómo se construye un Caso de Negocios?
• Antecedentes. Motivaciones para iniciar un proyecto. Competencia y justificación.
• Formas de facilitar la aprobación de un proyecto.
• Generalidades sobre la creación de un business case.
• Beneficios, financieros y no financieros, tangibles e intangibles, hard y soft. La problemática de los beneficios soft. El papel de los decisores.

4) ¿Cuáles son los componentes de un Business Case?
• Pasos para la elaboración de un Business Case.
• Sumario Ejecutivo. Visión rápida. Beneficios financieros.
• Valuación de la situación actual. Cuestiones que se enfrentan.
• Alcance y objetivos del proyecto. Reingeniería.
• Descripción de la solución. Resultados buscados, alternativas.
• Análisis de Costo-Beneficio.
• Implementación. Fases y gráfica Gantt.
• Supuestos críticos y valuación de riesgos. Análisis FODA.
• Conclusiones y Recomendaciones. Beneficios, puesta en marcha.

5) ¿Cómo se cuantifican los beneficios de un proyecto?
• Reglas y sugerencias a considerar.
• Errores de apreciación.
• Tipos de costos, proceso de identificación.
• Tipos de beneficios, paso de identificación.
• Indicadores financieros. Análisis de sensibilidad.
• Retorno Sobre la Inversión, ROI y análisis Costo-Beneficio. Diferencias.
• El aporte de la metodología ABC de costeo por actividades.

6) ¿Por qué falla o fracasa un proyecto de Business Case?
• Experiencias negativas, críticas a la metodología y al análisis.
• Características diferenciales. Cambios en costos y beneficios, Cruce de fronteras, Beneficios no cuantificables, Escenarios particulares.

7) El Caso de Negocios para Seguridad de la Información
• Revisión del enfoque técnico. Diagrama de flujo, cronograma de implementación. ROSI (Retorno Sobre la Inversión en Seguridad). Bayes, Simulación Monte Carlo.
• Dificultades en la aprobación de un proyecto de seguridad de la información, proyectos en competencia.
• Valor de la seguridad. Los nuevos escenarios de seguridad. Articulación de la seguridad de la información con los negocios.
• Pasos que ayudan a la aprobación de un proyecto de seguridad.
• Características básicas. El impacto financiero, Cuantificación. Indicadores financieros.
• Características diferenciales. Cruce de fronteras. Beneficios no cuantificables.
• Los beneficios soft: Reducción del Costo Total de Propiedad (TCO), de los costos de Respuesta y resolución de incidentes, de las pérdidas de Productividad, y de los riesgos de Daños colaterales.
• Riesgos más costosos y más frecuentes.

TALLER DE PRACTICA
• El Taller consiste en realizar 5 Trabajos Prácticos sobre dichos documentos.

Documentos con los que se trabaja
1 - Pérdidas de productividad e ingresos.
2 - Análisis ROSI de un proyecto de seguridad simplificado.
3 - Análisis de Riesgos y ROSI de un proyecto de seguridad con variables de valores determinados.
4 - Guía y discusión de las secciones de un business case
5 - Redactar un caso de negocios para ROSI


MATERIAL DE LECTURA
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Normas ISO de Seguridad de la Información
• ROSI, Retorno Sobre la Inversión en Seguridad - Abstract
• El ROI de la Seguridad y las Primas de seguro
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
.
Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su
mensaje a Nancy Clark Cedeño.


¿Cómo enfrentar las AMENAZAS a la INFORMACION DE NEGOCIOS?

Todos los días surgen noticias y prevenciones tácticas de nuevos ataques de hackers, virus, malware, etc. en los sistemas internos de las empresas, en Internet, y en la nube.
Más complejas quizás pero más efectivas y con mayor cobertura son las soluciones estratégicas.
Este enfoque no es para un tipo determinado de amenazas en particular sino que puede cubrir un amplio espectro del aseguramiento de la información de negocios.
En este curso se plantea una serie de preguntas que conducen a técnicas o modalidades de las más avanzadas que mejoran y potencian el aseguramiento de la información de negocios, y que se desarrollan tanto teórica como prácticamente en cursos específicos.

DURACION: 8 horas. Exposición y Taller de Práctica.

¿QUIÉNES DEBEN ASISTIR?:
• Personal superior y funcionarios que necesitan conocer las metodologías y herramientas más nuevas para el resguardo de la información a nivel corporativo.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología. Administradores de seguridad de la información que deben administrar el aseguramiento y la gestión de riesgos.

OBJETIVOS
Reconocer, revisar, analizar y articular:
• Una serie de cuestiones respecto del aseguramiento de la información y las respuestas correspondientes.
• La participación activa en un taller realizando 5 trabajos prácticos, con material disponible para proyectos particulares.

METAS A ALCANZAR
Finalizado el curso, los participantes podrán:
• Tener una idea clara de las soluciones a desarrollar como respuesta a los nuevos planteos de las constantes amenazas que asechan la información de negocios.

TEMARIO DE LA PRESENTACION

INTRODUCCION
Respuesta a las amenazas. Técnicas para medir y gestionar un mejor aseguramiento de la información de negocios, en su forma electrónica como en su aspecto operacional en relación con el actuar de las personas.

CUESTIONES PLANTEADAS
1) ¿Qué es Business Intelligence?
El escenario complejo del manejo de la información corporativa frente a las amenazas.

2) ¿Cuál ha sido la evolución del aseguramiento de la información de negocios?
Olas del aseguramiento, de lo técnico a los negocios corporativos.

3) ¿Qué significa Corporate Governance y qué implica?
Cómo los Principios del Gobierno Corporativo introducen los conceptos de aseguramiento

4) ¿Seguridad informática o seguridad de la información?
Vulnerabilidades y riesgos organizacionales, operacionales, técnicos y físicos.

5) ¿Cuáles son las normas de seguridad?
Normas básicas, de extensión y complementación

6) ¿Cómo se estiman los riesgos?
Formas de valuación de riesgos

7) ¿Cómo afectan a la seguridad las características personales?
Influencia de la actitud y comportamiento de las personas.

8) ¿Cómo se determinan las métricas de seguridad?
Métricas de normas y elaboración de métricas complementarias.

9) ¿Cómo controlar la efectividad de las medidas de seguridad?
El Balanced Scorecard (BSC). Mapa estratégico y Tablero de Control con aplicaciones.

10) ¿Cómo evaluar los resultados de un plan de concientización/capacitación?
Respuesta a un programa de concientización según criterios que hacen a las personas.

11) ¿Cómo se audita internamente la seguridad?
Normas y pasos de auditoría.

12) ¿Cómo justificar la inversión en seguridad?
Retorno Sobre la Inversión en Seguridad, ROSI.

13) ¿Cómo se manejan los riesgos operacionales en bancos para conformidad Basilea II?
Metodologías, IMA.

14) ¿Cómo cumplir con las regulaciones de privacidad de datos?
Leyes, disposiciones. PII y PIA.

15) ¿Cómo se logra la continuidad de los negocios?
Gestión, normas, alcance.

TALLER DE PRÁCTICA
• El Taller consiste en responder y discutir una serie de Preguntas de Auto-evaluación correspondientes a los temas desarrollados.

MATERIAL DE SOPORTE Y LECTURA
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• El Factor Gente y la Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su
mensaje a Nancy Clark Cedeño.


Home Charlas Cursos Artículos Documentación Artículos L&W Resúmenes