presentación de powerpoint - risk intelligent · estándar normativo iso-iec 27001 y a toda la...
TRANSCRIPT
TALLER
“ISO-IEC 27001Seguridad de la Información orientada al Negocio”
19 y 20 de Julio 2016Hotel Park Inn , San José.
OBJETIVOIntroducción
Los principales estándares relacionados al gobierno en
el tratamiento y seguridad de la información, fueron
promulgados desde el propio negocio como una
necesidad de disponer de una gestión que asegure sus
procesos y el tratamiento de los datos propios o de
terceros, bajo condiciones de calidad y respondiendo a
los requerimientos de sus clientes.
Un manual creado en los ’80 por la Royal Dutch/Shell
Group, el Manual de Políticas de Seguridad de la
Información, dio paso a lo que hoy conocemos como el
estándar normativo ISO-IEC 27001 y a toda la familia
de normas ISO 27000, a través de las cuales se
establece la prioridad de identificar y definir
formalmente los objetivos compatibles con la dirección
estratégica de la organización en relación a la
seguridad de la información.
OBJETIVOObjetivos
El presente taller tiene como principal objetivo el guiar a
los participantes hacia un buen entendimiento de la
implicancia de la Seguridad de la Información en las
empresas, la gestión de los servicios brindados al
negocio, y la importancia aplicada a:
• Reducción de riesgos en el negocio asociados con
la tecnología y la información.
• La oportunidad de generar negocio, a partir de la
prevención.
• Un alineamiento de los procesos de negocio con la
infraestructura TI y Seguridad de la Información.
• Una adecuada gestión de la calidad y aumento de
eficiencia.
OBJETIVOAlcance
Desde el entendimiento de sus orígenes hasta sus
procesos y procedimientos para la prestación de
servicios de Seguridad de la Información que brindan
soporte a la organización, asegurando la disponibilidad
y calidad de sus procesos de negocio y la
confidencialidad e integridad de su información.
OBJETIVOSeguridad de la Información y negocio
• Estrategia de Negocio - Tecnología y Seguridad
como servicio
• Relación Objetivos Estratégicos Servicios IT / SI
• PLAN DE NEGOCIO - Gobierno, Calidad y
Aseguramiento
• Política de seguridad, normativas y guías de
implementación
• Compromiso de la Dirección y alcance del SGSI
• Comité de Seguridad
Contenidos
OBJETIVOPlanificación y operación
• Decisiones y acciones para mejorar la efectividad
del SGSI
• Evaluación y tratamiento de riesgos de seguridad
• Manual de Protección de la Información
• Dominios - Implementación y métricas
• Aspectos organizativos de la seguridad de la
información
oOrganización interna
oTerceros - Clientes y Proveedores
Contenidos
OBJETIVO• Interpretación para Unidades de Negocio,
Unidades de Servicio y Tecnología
oGestión de activos
oGestión de los recursos y el trabajo en equipo
oSeguridad ligada a los recursos humanos
oSeguridad física y ambiental
oGestión de concientización, comunicación y
operaciones
oControl de accesos
oAdquisición, desarrollo y mantenimiento de los
sistemas de información
oGestión de incidentes en la seguridad de la
información
oGestión de la continuidad del negocio
oRequerimientos de calidad y servicio - Asociación
con CoBIT 5, ISO 20000 e ITIL
Contenidos
OBJETIVO• Declaración de Aplicabilidad
• La Certificación
ISO 27001 y su aporte al cumplimiento
• Análisis de Madurez de la Organización –
Cumplimiento actual
• Puesta en práctica - achicando la brecha de
cumplimiento
• Impacto en los Proyectos
• Regulaciones y Cumplimiento para el Negocio
• Estrategias para la clasificación de información
• Interpretación del Cumplimiento y Marco
Normativo
• Evaluación y tratamiento de riesgos asociados al
Negocio
• Principales objetivos de control asociados al
Negocio
Contenidos
OBJETIVOEvaluación, controles y auditoría continua
• Descubrimiento del entorno de trabajo y sus
alcances en TI y Seguridad de la Información
• Métricas
oCreación de una métrica ¿Cómo conseguir buenas
métricas
oClasificación de métricas: Externas, internas y de
calidad
oLas métricas de seguridad y sus características
oBeneficios de las métricas en seguridad
oMEMSI (Modelo estratégico de métricas en
seguridad de la información)
Contenidos
OBJETIVO• Impacto en el negocio: Conocer como se está
Gobernando
• Riesgos y vulnerabilidades: Conocer los Riesgos
asociados a nuestro gobierno
• Cumplimiento y controles: Conocer lo que debo
controlar
• Descubrimiento del entorno de cumplimiento
• Práctica de definición
• Determinación de universos (Procesos de servicio
IT y SI, Infraestructura de TI (SO y BBDD), aplicaciones
e información/datos
Contenidos
OBJETIVOContenidos
• Diseño del modelo de control en base a riesgos
• Determinación de las categorías, subcategorías y
controles principales
• Parametrización del cumplimiento y determinación
de excepciones
• Definición de los modelos de evidencias y cedulas
de control
• Concepto de auditoría continua
Economía de la seguridad de la información – ROI
• La necesidad de cálculo de ROSI
• Respuestas y metodología para el cálculo de
ROSI
• El cálculo de ROSI y sus limitaciones
DIRIGIDO AA quién esta dirigido
Profesionales, técnicos, mandos medios o directivos de
Organizaciones que deseen implementar, se encuentren
implementando o pretendan Certificar un Sistema de
Gestión de Seguridad de la Información (SGSI/ISMS),
acorde a los requerimientos de la norma ISO/IEC
27001, o simplemente estén interesadas en la
evaluación y el seguimiento de la conformidad con los
requisitos y las buenas prácticas aceptadas
internacionalmente.
Fabián Descalzo
AGENDAAdministración de las tecnologías de la información, Seguridad
informática, Gobierno TI, Auditorías de seguridad, ISO 27001,
Gestión de proyectos de software, Auditorías internas, Gestión de
riesgos, COBIT, ITIL, Gestión de proyectos, IT Audit, Security, CISM,
Tecnologías de la información, Estrategia empresarial, Gobernanza,
PCI DSS, PMP,Security Awareness, Alta disponibilidad, Information
Technology, IT Governance, ISO 20000, Desarrollo de Normas de
Seguridad de la Información, Computer Security, Integración, Gestión
y Control de la Seguridad de la Información, Security Audits,
Information Security Management, IT Management, Cloud
Computing, Business Continuity Planning, Internal Audit, Desarrollo
de Procedimientos para implementación de Seguridad de la
Información, Security Management, Desarrollo de Planes de
Contingencia (DRP), IT Security Policies, Desarrollo de Planes de
Continuidad de Negocios (BCP), CISA, PM SGSI - Information
Security Manager, Sarbanes-Oxley Act
Capacitador
Fabián Descalzo
AGENDACapacitador
Certificaciones
Dirección de seguridad de la información
Universidad CAECE December 2013
ITIL® version 3, Certification for Information
Management
EXIN License EXN4396338 January 2011
Foundation ISO/IEC 20000-1:2011, Implementación de
Sistemas de Gestión IT
LSQA - LATU December 2011
Internal Audit ISO/IEC 20000:2011, Auditor Interno en
Sistemas de Gestión IT
LSQA - LATU December 2011
Lugar: Hotel Park Inn , San José.
Días: 19 y 20 de Julio de 2016.
Duración: 12 horas.
Horario: Martes 19 de Julio de 8:00 am. a
5:00pm.
Miércoles 20 de Julio de Julio de 8:00am a
12:00md.
Inversión: $650.
Incluye: Certificado de participación,
alimentación, material digital.
DIRIGIDO AInformación General