TALLER

“ISO-IEC 27001Seguridad de la Información orientada al Negocio”

19 y 20 de Julio 2016Hotel Park Inn , San José.

OBJETIVOIntroducción

Los principales estándares relacionados al gobierno en

el tratamiento y seguridad de la información, fueron

promulgados desde el propio negocio como una

necesidad de disponer de una gestión que asegure sus

procesos y el tratamiento de los datos propios o de

terceros, bajo condiciones de calidad y respondiendo a

los requerimientos de sus clientes.

Un manual creado en los ’80 por la Royal Dutch/Shell

Group, el Manual de Políticas de Seguridad de la

Información, dio paso a lo que hoy conocemos como el

estándar normativo ISO-IEC 27001 y a toda la familia

de normas ISO 27000, a través de las cuales se

establece la prioridad de identificar y definir

formalmente los objetivos compatibles con la dirección

estratégica de la organización en relación a la

seguridad de la información.

OBJETIVOObjetivos

El presente taller tiene como principal objetivo el guiar a

los participantes hacia un buen entendimiento de la

implicancia de la Seguridad de la Información en las

empresas, la gestión de los servicios brindados al

negocio, y la importancia aplicada a:

• Reducción de riesgos en el negocio asociados con

la tecnología y la información.

• La oportunidad de generar negocio, a partir de la

prevención.

• Un alineamiento de los procesos de negocio con la

infraestructura TI y Seguridad de la Información.

• Una adecuada gestión de la calidad y aumento de

eficiencia.

OBJETIVOAlcance

Desde el entendimiento de sus orígenes hasta sus

procesos y procedimientos para la prestación de

servicios de Seguridad de la Información que brindan

soporte a la organización, asegurando la disponibilidad

y calidad de sus procesos de negocio y la

confidencialidad e integridad de su información.

OBJETIVOSeguridad de la Información y negocio

• Estrategia de Negocio - Tecnología y Seguridad

como servicio

• Relación Objetivos Estratégicos Servicios IT / SI

• PLAN DE NEGOCIO - Gobierno, Calidad y

Aseguramiento

• Política de seguridad, normativas y guías de

implementación

• Compromiso de la Dirección y alcance del SGSI

• Comité de Seguridad

Contenidos

OBJETIVOPlanificación y operación

• Decisiones y acciones para mejorar la efectividad

del SGSI

• Evaluación y tratamiento de riesgos de seguridad

• Manual de Protección de la Información

• Dominios - Implementación y métricas

• Aspectos organizativos de la seguridad de la

información

oOrganización interna

oTerceros - Clientes y Proveedores

Contenidos

OBJETIVO• Interpretación para Unidades de Negocio,

Unidades de Servicio y Tecnología

oGestión de activos

oGestión de los recursos y el trabajo en equipo

oSeguridad ligada a los recursos humanos

oSeguridad física y ambiental

oGestión de concientización, comunicación y

operaciones

oControl de accesos

oAdquisición, desarrollo y mantenimiento de los

sistemas de información

oGestión de incidentes en la seguridad de la

información

oGestión de la continuidad del negocio

oRequerimientos de calidad y servicio - Asociación

con CoBIT 5, ISO 20000 e ITIL

Contenidos

OBJETIVO• Declaración de Aplicabilidad

• La Certificación

ISO 27001 y su aporte al cumplimiento

• Análisis de Madurez de la Organización –

Cumplimiento actual

• Puesta en práctica - achicando la brecha de

cumplimiento

• Impacto en los Proyectos

• Regulaciones y Cumplimiento para el Negocio

• Estrategias para la clasificación de información

• Interpretación del Cumplimiento y Marco

Normativo

• Evaluación y tratamiento de riesgos asociados al

Negocio

• Principales objetivos de control asociados al

Negocio

Contenidos

OBJETIVOEvaluación, controles y auditoría continua

• Descubrimiento del entorno de trabajo y sus

alcances en TI y Seguridad de la Información

• Métricas

oCreación de una métrica ¿Cómo conseguir buenas

métricas

oClasificación de métricas: Externas, internas y de

calidad

oLas métricas de seguridad y sus características

oBeneficios de las métricas en seguridad

oMEMSI (Modelo estratégico de métricas en

seguridad de la información)

Contenidos

OBJETIVO• Impacto en el negocio: Conocer como se está

Gobernando

• Riesgos y vulnerabilidades: Conocer los Riesgos

asociados a nuestro gobierno

• Cumplimiento y controles: Conocer lo que debo

controlar

• Descubrimiento del entorno de cumplimiento

• Práctica de definición

• Determinación de universos (Procesos de servicio

IT y SI, Infraestructura de TI (SO y BBDD), aplicaciones

e información/datos

Contenidos

OBJETIVOContenidos

• Diseño del modelo de control en base a riesgos

• Determinación de las categorías, subcategorías y

controles principales

• Parametrización del cumplimiento y determinación

de excepciones

• Definición de los modelos de evidencias y cedulas

de control

• Concepto de auditoría continua

Economía de la seguridad de la información – ROI

• La necesidad de cálculo de ROSI

• Respuestas y metodología para el cálculo de

ROSI

• El cálculo de ROSI y sus limitaciones

DIRIGIDO AA quién esta dirigido

Profesionales, técnicos, mandos medios o directivos de

Organizaciones que deseen implementar, se encuentren

implementando o pretendan Certificar un Sistema de

Gestión de Seguridad de la Información (SGSI/ISMS),

acorde a los requerimientos de la norma ISO/IEC

27001, o simplemente estén interesadas en la

evaluación y el seguimiento de la conformidad con los

requisitos y las buenas prácticas aceptadas

internacionalmente.

Fabián Descalzo

AGENDAAdministración de las tecnologías de la información, Seguridad

informática, Gobierno TI, Auditorías de seguridad, ISO 27001,

Gestión de proyectos de software, Auditorías internas, Gestión de

riesgos, COBIT, ITIL, Gestión de proyectos, IT Audit, Security, CISM,

Tecnologías de la información, Estrategia empresarial, Gobernanza,

PCI DSS, PMP,Security Awareness, Alta disponibilidad, Information

Technology, IT Governance, ISO 20000, Desarrollo de Normas de

Seguridad de la Información, Computer Security, Integración, Gestión

y Control de la Seguridad de la Información, Security Audits,

Information Security Management, IT Management, Cloud

Computing, Business Continuity Planning, Internal Audit, Desarrollo

de Procedimientos para implementación de Seguridad de la

Información, Security Management, Desarrollo de Planes de

Contingencia (DRP), IT Security Policies, Desarrollo de Planes de

Continuidad de Negocios (BCP), CISA, PM SGSI - Information

Security Manager, Sarbanes-Oxley Act

Capacitador

Fabián Descalzo

AGENDACapacitador

Certificaciones

Dirección de seguridad de la información

Universidad CAECE December 2013

ITIL® version 3, Certification for Information

Management

EXIN License EXN4396338 January 2011

Foundation ISO/IEC 20000-1:2011, Implementación de

Sistemas de Gestión IT

LSQA - LATU December 2011

Internal Audit ISO/IEC 20000:2011, Auditor Interno en

Sistemas de Gestión IT

LSQA - LATU December 2011

Lugar: Hotel Park Inn , San José.

Días: 19 y 20 de Julio de 2016.

Duración: 12 horas.

Horario: Martes 19 de Julio de 8:00 am. a

5:00pm.

Miércoles 20 de Julio de Julio de 8:00am a

12:00md.

Inversión: $650.

Incluye: Certificado de participación,

alimentación, material digital.

DIRIGIDO AInformación General