Revista LAN & WAN - Redes de computadores, networking y telecomunicaciones, LAN, WAN. Seguridad Informática, auditoría y certificación. Cursos y seminarios, consultoría.

Site hosted by Angelfire.com: Build your free website today!

TEMARIOS DE CURSOS A DISTANCIA

• Estos cursos pueden ser organizados por plataformas Moodle de Argentina y otros países de habla hispana.
• Se puede solicitar mayor información a Cursos

GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACION
Taller de Práctica

Desde la emisión de las normas de seguridad de la información ISO 27001 y 27002, se ha venido poniendo en claro su importancia a nivel corporativo en los negocios de una empresa, más allá del recurrente concepto básico de la seguridad informática limitado al área TIC.
Por su parte, la nueva norma ISO 27005 proporciona un importante aporte que fortalece la estrategia auto-consistente de la serie ISO 27k, al establecer cómo se analizan y gestionan los riesgos.
A su vez, la ISO 31000 establece el nuevo concepto de riesgos a nivel corporativo para todo tipo de riesgos.

DURACIÓN: 3 semanas

COMPONENTES:
• 3 Módulos de Estudio con un total de 21 Temas o Unidades de Estudio
• 21 Preguntas de Auto-evaluación
• 21 Tareas de Comprensión y Colaboración
• 4 Trabajos Prácticos de Taller.
• 3 Foros: Académico, de Consultas y Social
• Más de 30 documentos de lectura y soporte, incluyendo 5 normas ISO.

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración. El puntaje total determina el tipo de Certificado que se otorga.

¿QUIÉNES DEBEN PARTICIPAR?:
• Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones en cuanto a seguridad de la información y su trascendencia en los riesgos de negocios.
• Gerentes y Directores de Riesgos que busquen integrar los riesgos de Seguridad de la Información en los riesgos corporativos de una organización.
• Administradores de seguridad de la información que deben administrar la gestión de riesgos e informar a la gerencia media y superior en cuanto a los negocios de la empresa.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Auditores de seguridad y de sistemas, auditores internos y externos.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Los riesgos organizacionales, operacionales, físicos y de sistemas TIC, y metodologías para su determinación.
• El análisis y gestión de riesgos.
• Los factores que producen la resistencia al cambio frente a la implementación de medidas de seguridad y las bases para un buen manejo de las situaciones, y obtener así resultados consistentes y sustentables.
• Realizar 5 Trabajos Prácticos con material disponible para proyectos particulares.

METAS A ALCANZAR
Finalizado el curso, los participantes podrán:
• Diferenciar los riesgos organizacionales y operacionales de los técnicos de sistemas TIC.
• Tener un sólido entendimiento de las distintas formas de valuar los riesgos de seguridad.

TEMARIO DEL MATERIAL DE ESTUDIO
Aseguramiento y normas de seguridad
• El aseguramiento de la información y el Corporate Governance
• Seguridad de la Información y Seguridad Informática
• Norma ISO 27002
• Norma ISO 27001
• Gobierno de Seguridad de la Información

Métodos de cálculo de riesgos
• Formas de análisis de riesgos
• Cálculo de riesgos por las entidades
• Cálculo de riesgos por las pérdidas
• Graficado de pérdidas, LDA, Valor en Riesgo y Colas anchas
• Riesgos Positivos. Oportunidades
• Variantes del cálculo de riesgos
• Incertidumbre de los riesgos
• Regla de Bayes
• El Factor Gente
• Simulación Monte Carlo
• Decisiones frente a los riesgos determinados
• Riesgo Residual y Salvaguardas
• Proceso de Valuación y Tratamiento de los riesgos
Anexo 1: Probabilidades estadísticas

Normas de riesgos de Seguridad
• Norma de riesgos ISO 27005
• Norma ISO 31000 y complementaria ISO 31010
• Mejoras en el cálculo de riesgos

TALLER DE PRÁCTICA
• El Taller consiste en realizar 5 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Análisis Gap de riesgos según ISO 27002
2 - Cálculo de riesgos con metodología de barras y LDA
3 - Cálculo de Riesgo Residual
4 - Prioridades reducción riesgos
5 - Efectividad de la concientización

MATERIAL DE SOPORTE Y LECTURA
1) Módulos de estudio
2) Material del taller (5 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53
• NIST 800-55v1
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• El Factor Gente y la Seguridad de la Información
• Medidas del desempeño y el Balanced Scorecard
• El ROI de la Seguridad y las Primas de seguro
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.

PRIVACIDAD Y PROTECCION DE DATOS PERSONALES
Taller de Práctica

La protección de la privacidad se ha vuelto últimamente un tema recurrente a partir de un mayor reconocimiento de los derechos individuales.
Los datos personales se manifiestan en forma más evidente en los archivos, informes y otros documentos en los que se los maneja por distintos motivos, pero que deben atender a la mencionada protección según buenas prácticas y especialmente regulaciones que han venido surgiendo.
Factores de gran importancia en la protección de datos personales son las características de las personas, no sólo en cuanto al conocimiento de las medidas que se hayan establecido sino a la actitud que toman frente a las mismas y el comportamiento en los momentos en que deben ser aplicadas.

DURACIÓN: 3 semanas

COMPONENTES:
• 2 Módulos de Estudio con un total de 34 Temas
• 4 Preguntas de Auto-evaluación
• 4 Tareas de Comprensión y Colaboración
• 3 Trabajos Prácticos de Taller.
• 3 Foros: Académico, de Consultas y Social
• Más de 30 documentos de lectura y soporte.

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración. El puntaje total determina el tipo de Certificado que se otorga.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Comprender la naturaleza y necesidades de protección en cuanto a la identificación de datos personales.
• Analizar la relevancia de la valuación de impactos a la privacidad como base de un proyecto de protección a la identificación de las características de las personas.
• Proporcionar el conocimiento y desarrollo de las etapas de un proyecto de protección a la privacidad de los datos personales.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Conducir y gestionar el proceso de valuación de impactos a los datos personales.
• Usar o adaptar un modelo de seguridad para la protección de datos personales de diferente índole.
• Desarrollar un checklist de cumplimiento de las medidas de protección de datos personales.

¿QUIÉNES DEBEN PARTICIPAR?:
• Administradores de seguridad de la información que deben administrar la gestión de riesgos e informar a la gerencia media y superior en cuanto a los negocios de la empresa.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Gerentes y Directores de Riesgos que busquen integrar los riesgos de Seguridad de la Información en los riesgos corporativos de una organización.
• Auditores de seguridad y de sistemas, auditores internos y externos.

TEMARIO DEL MATERIAL DE ESTUDIO
Conceptos y Características de Privacidad
• Introducción y definiciones
• Conceptos básicos de seguridad

Principios de Privacidad
• Informacicón básica sobre PII
• Principios de Privacidad de la ISO 29100
• Principios de Privacidad de la OECD
• Principios de Privacidad Canadiense

PII, Información de Identificación Personal
• Identificación de un PII
• Confidencialidad del PII y Niveles de Impacto
• Factores para determinar los Niveles de Impacto a la Confidencialidad de un PII
• Requisitos para la salvaguarda de la Privacidad
• Salvaguardas de confidencialidad PII
• Controles de privacidad y seguridad
• Respuesta a Incidentes de infracciones que implican PII

Prevención de Pérdidas de Datos, DLP
• Conceptos básicos
• Identificación de datos
• Evolución de los DLP – Análisis de contenido y contextual
• Arquitectura

PIA
• Conceptos básicos de PIA
• Objetivos de un PIA
• Beneficios de un PIA
• Realización de valuaciones de impacto a la privacidad
• Identificación de la necesidad de un PIA
• Preguntas seleccionadas del Código de Prácticas ICO para la valuación del impacto
• Gestión y pasos del proceso PIA
• Identificación y evaluación de soluciones de privacidad
• Realización del proceso de PIA

Protección de Datos Personales
• Diferencias entre Privacidad y Protección de datos personales
• Principios de Protección de Datos
• Ley Argentina No. 25.326
• Disposiciones de la DNPDP
• Disposición 11/2006
• ISO 27799
• ISO 27789
• Disposición 03/2012

TALLER DE PRÁCTICA
• El Taller consiste en realizar 3 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

DOCUMENTOS SOBRE LOS QUE SE REALIZAN LOS TRABAJOS PRACTICOS
1 - Desarrollar un checklist de cumplimiento a la privacidad y protección de datos en una implementación PII.
2 - Preparación del mapeo de los requisitos del Nivel Crítico de Protección de Datos Personales conforme la Disposición 11/2006 de Argentina a controles de la norma ISO 27002.
3 - Revisión y ampliación de un cuestionario para medir los resultados de un plan de concientización.

MATERIAL DE SOPORTE Y LECTURA
1) Módulos de estudio
2) Material del taller (3 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014 en Inglés
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013 en Inglés
• ISO 27002:2013 en Inglés
• ISO 27005 en Inglés
• ISO 29100 en inglés
• ISO 31000 en Inglés
• NIST 800-122, Guía para la protección de la Confidencialidad de PII
• Apéndice J, Controles de Seguridad y Privacidad, del NIST 800-53
• Recomendaciones para la protección de datos personales
• Guía para la protección de datos personales
• Guía resumen para la protección de datos personales
• Resumen LOPD
• Resumen del Reglamento LOPD
• LOPD, medidas de seguridad
• Cuadro niveles de seguridad LOPD
• Comparación con LOPD a nivel básico
• Comparación HIPAA con ISO 27002
• Ley argentina 25.326 de Habeas Data
• Disposición argentina 03/2012
• Disposición argentina 11/2006
• Modelo de documento de seguridad
• Diagrama de implementación de un proyecto
• Información de la ISO 27799
• Protección de datos personales en el sector de la salud
• Manual PIA
• Estudio de la privacidad de datos personales y redes sociales
• Mapeado de controles ISO 27002:2013 vs. ISO 27002:2005
• Seguridad Informática vs. Seguridad de la Información
• El Factor Gente y la Seguridad de la Información
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.

IMPLEMENTACIÓN DE LA ISO 27001:2013 Y MIGRACIÓN DE LA VERSIÓN 2005
Taller de Práctica

La emisión de las nuevas versiones 2013 de las normas ISO 27001 y 27002 trajeron, muy especialmente la primera, modificaciones de importancia en la forma de implementar un SGSI.
Algunas de estas modificaciones responden a una nueva estructura común con otras normas de Sistemas de Gestión corporativas.
Además, en el desarrollo de la ISO 27001 se han incorporado nuevos conceptos y requisitos. Incluso, la medición del desempeño orienta al uso de herramientas como el BSC, Balanced Scorecard.

DURACIÓN: 3 semanas

COMPONENTES:
• 3 Módulos de Estudio con un total de 14 Temas o Unidades de Estudio
• 14 Preguntas de Auto-evaluación
• 14 Tareas de Comprensión y Colaboración
• 3 Trabajos Prácticos de Taller.
• 3 Foros: Académico, de Consultas y Social
• Más de 30 documentos de lectura y soporte, incluyendo varias normas ISO.

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración. El puntaje total determina el tipo de Certificado que se otorga.

¿QUIÉNES DEBEN PARTICIPAR?:
• Administradores de seguridad de la información que deben administrar la gestión de riesgos e informar a la gerencia media y superior en cuanto a los negocios de la empresa.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Gerentes y Directores de Riesgos que busquen integrar los riesgos de Seguridad de la Información en los riesgos corporativos de una organización.
• Auditores de seguridad y de sistemas, auditores internos y externos.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Los nuevos conceptos propios y derivados de la ISO 31000 de riesgos corporativos.
• Los detalles y requisitos que resultan del nuevo formato común a las demás normas de Sistemas de Gestión.
• Los procesos a seguir en la implementación de un SGSI.
• Los pasos sugeridos para la migración de una implementación 2005 a otra actualizada conforme las versiones 2013.
• Realizar 3 Trabajos Prácticos con material disponible para proyectos particulares.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Implantar un SGSI en bases a la versión 2013 de la ISO 27001..
• Implementar los cambios y agregados, así como la conformidad con los nuevos requisitos en un SGSI ya existente bajo la versión 2005.

TEMARIO DE LA PRESENTACION
Antecedentes y soporte para una Implementación
• Integración de la Seguridad de la Información con el Corporate Governance
• Seguridad de la Información y Seguridad Informática
• Gobierno de Seguridad de la Información
• El Factor Gente y su influencia en las implementaciones.
• Evaluación de los planes de Concientización

Implementación de la ISO 27001
• Presentación de las normas ISO 27001 y 27002 versión 2013
• Descripción pormenorizada de la ISO 27001:2013
• Proceso de Valuación y Tratamiento de riesgos

Migración de la ISO 27001:2005 a la versión 2013, y complementos
• Requisitos de implementación del SGSI
• Resumen de los cambios en la implementación de la ISO 27001
• Pasos de la Migración de la ISO 27001 a la versión 2013
• Herramientas para la medición del desempeño
• Conceptos básicos de Auditoría
• Ciberseguridad, Computación en la Nube

TALLER DE PRÁCTICA
• Consiste en realizar 3 Trabajos Prácticos sobre documentos con antecedentes basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares,

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Listado de documentación obligatoria y del índice de requisitos (declaraciones shall)
2 - Auto-evaluación del estado de preparación de la ISO 27001
3 - Tablero de Control del Balanced Scorecard (BSC) y Controles de la norma

MATERIAL DE SOPORTE Y LECTURA 1) Módulos de Estudio
2) Material del taller (3 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la versión 2005
• NIST 800-146
• Framework for improving Critical Infrastructure Cybersecurity de NIST
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• El Factor Gente y la Seguridad de la Información
• Medidas del desempeño y el Balanced Scorecard
• El ROI de la Seguridad y las Primas de seguro
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.

METRICAS DE SEGURIDAD DE LA INFORMACION
Taller de Práctica

Desde la emisión de las normas de seguridad de la información ISO 27001 y 27002, se ha venido poniendo en claro su importancia a nivel corporativo en los negocios de una empresa, más allá del recurrente concepto básico de la seguridad informática limitado al área TIC.
La nueva norma ISO 27004 proporciona un importante aporte que fortalece la estrategia auto-consistente de la serie ISO 27k, al establecer cómo se mide la eficiencia del sistema de gestión y la efectividad de las medidas de seguridad que se implementen, para reducir no sólo los riesgos técnicos de IT, sino también especialmente los riesgos operacionales, estableciendo todo un marco que comparte la visión corporativa de negocios, especialmente mediante el uso del Balanced Scorecard.

DURACIÓN: 4 semanas

COMPONENTES:
• 4 Módulos de Estudio con un total de 19 Temas o Unidades de Estudio
• 19 Preguntas de Auto-evaluación
• 19 Tareas de Comprensión y Colaboración
• 5 Trabajos Prácticos de Taller.
• 3 Foros: Académico, de Consultas y Social
• Más de 30 documentos de lectura y soporte, incluyendo 5 normas ISO.

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración. El puntaje total determina el tipo de Certificado que se otorga.

¿QUIÉNES DEBEN PARTICIPAR?:
• Administradores de seguridad de la información que deben administrar la gestión de riesgos, mensurar las medidas de seguridad, e informar a la gerencia media y superior en cuanto a los negocios de la empresa.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones en cuanto a seguridad de la información y su trascendencia en los riesgos de negocios.
• Auditores de seguridad y de sistemas, auditores internos y externos.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• La ISO 27004 para las métricas del SGSI de la ISO 27001 y de la efectividad de los controles implementados.
• Las diferentes formas de verificar el cumplimiento de los objetivos de control y controles implementados de la ISO 27001.
• El mapeado de Objetivos de Control y Controles de seguridad con los Objetivos Operacionales e Iniciativas del Balanced Scorecard.
• Realizar 5 Trabajos Prácticos con material disponible para proyectos particulares.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Tener un sólido entendimiento de los diferentes métodos para la determinación y uso de métricas de controles.
• Poder clasificar las verificaciones de eficiencia y efectividad de las medidas de seguridad en el contexto del necesario alineamiento de los objetivos operacionales de seguridad con los objetivos estratégicos a nivel corporativo.
• Comprender la importancia de las oportunidades como riesgos positivos y cómo pueden mensurarse.

TEMARIO DEL MATERIAL DE ESTUDIO
Métricas de Seguridad de la Información y Aplicaciones
• Norma de Métricas ISO 27004
• Uso de las métricas en seguridad de la información
• Métricas de controles, metodologías NIST y GQM
• Métricas de objetivos de control
• Madurez de las métricas, modelos SSE-CMM y NIST
• Riesgos positivos. Oportunidades, identificación y métricas
• Nuevos escenarios: Ciberseguridad, BYOD, Big Data e IoT

Desempeño de las Medidas de Seguridad - El Balanced Scorecard, BSC
• Gestión del desempeño de las medidas de seguridad
• Breve Introducción a CSF y KPI
• Presentación del Balanced ScoreCard (BSC)
• Perspectivas del BSC
• Objetivos estratégicos del BSC
• Mapa Estratégico del BSC

Tablero de Control del BSC y Seguridad de la Información
• Tablero de Control o Comando
• Características de los Indicadores del BSC
• Metas e Iniciativas del BSC
• Gestión y Reportes del BSC
• Objetivos Operacionales de Seguridad, Gestión y BSC
• KRI, Indicadores Claves de Riesgos

TALLER DE PRÁCTICA
• El Taller consiste en realizar 5 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Métricas de la efectividad de la concientización
2 - Métricas de Controles ISO 27002
3 - Mapa estratégico y relaciones Causa-Efecto del BSC
4 - Indicadores y Medidas del BSC en función de Métricas
5 - Objetivos de Control y Controles de la ISO 27002 a partir de Objetivos Operacionales de Seguridad

MATERIAL DE SOPORTE Y LECTURA
1) Módulos de estudio
2) Material del taller (5 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• ISO 31010
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53
• NIST 800-55v1
• Controles NIST (De la publicación 800-53r1)
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Hacia un Marco de Medición – GQM (en inglés)
• AHP, Tutorial sobre el Proceso de Análisis Jerárquico (en inglés)
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• El Factor Gente y la Seguridad de la Información
• Medidas del desempeño y el Balanced Scorecard
• El ROI de la Seguridad y las Primas de seguro
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.

AUDITORIA INTERNA DE SEGURIDAD DE LA INFORMACION
Taller de Práctica

La auditoría interna en seguridad de la información es un requisito del Sistema de Gestión de Seguridad de la Información conforme la ISO 27001.
Aunque sin el alcance de una auditoría previa a la certificación del SGSI, igualmente la auditoría interna cumple una misión importante no sólo en cuanto al cumplimiento sino al propio respaldo de los detalles de seguridad de una organización.
La auditoría interna en seguridad de la información es un requisito del Sistema de Gestión de Seguridad de la Información conforme la ISO 27001.
Aunque sin el alcance de una auditoría previa a la certificación del SGSI, igualmente la auditoría interna cumple una misión importante no sólo en cuanto al cumplimiento sino al propio respaldo de los detalles de seguridad de una organización.

DURACIÓN: 3 semanas

COMPONENTES:
• 3 Módulos de Estudio con un total de 8 Temas o Unidades de Estudio
• 8 Preguntas de Auto-evaluación
• 8 Tareas de Comprensión y Colaboración
• 3 Trabajos Prácticos de Taller.
• 3 Foros: Académico, de Consultas y Social
• Más de 30 documentos de lectura y soporte, incluyendo 5 normas ISO.

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración. El puntaje total determina el tipo de Certificado que se otorga.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Una aproximación sistemática a la auditoría interna.
• La participación activa en un taller de implementación realizando 5 trabajos prácticos, con material disponible para proyectos particulares.
• La especialización de los auditores internos de una empresa para que puedan garantizar el estado de la seguridad de la información.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Preparar una auditoría adecuadamente conducida.
• Usar listas de chequeo para los diferentes elementos y sistemas de seguridad de la información .
• Asegurar el cumplimiento de las normas internacionales de seguridad de la información.
• Asegurar que la organización pueda demostrar su capacidad de proveer una seguridad de la información gestionada que satisfaga los requerimientos de sus clientes.
• Programar y conducir todas las fases de una auditoría interna.

¿QUIÉNES DEBEN PARTICIPAR?:
• Personal de seguridad de la información.
• Gerentes y personal de Seguridad de la Información..
• Gerentes y personal a cargo de Tecnología de la Información.
• Gerentes de riesgo.
• Personal de los departamentos de Auditoría.
• Consultores

TEMARIO DE LA PRESENTACIÓN
Bases de una Auditoría Interna
• Conceptos de Auditoría Interna. Conceptos de activos y valuación de riesgos. Metodologías para el análisis de riesgos. Planificación, documentación, evidencias. Guía general de una auditoría, planificación, requerimientos de documentación, evidencias.
• Presentación de las normas ISO 27001 y 27002. Áreas, controles, Declaración de Aplicabilidad. Requisitos de la ISO 27001. Declaración de Aplicabilidad, documentación, Requisitos de la ISO 27001 para la auditoría interna.

Programación de una Auditoría Interna
• Norma ISO 27007 para auditoría del SGSI
• Norma ISO 27008 para conformidad controles IT
• Introducción a la gestión del programa de auditoría. Concepto de activos y valuación de riesgos. Metodologías para el análisis de riesgos.

Implementación de una Auditoría Interna
• Establecimiento del programa de auditoría. Alcance, Políticas de seguridad. Responsabilidades. Periodicidad.
• Implementación del programa de auditoría. Componentes: Cronograma, Reuniones, elaboración de listas de chequeo, identificación de no conformidad y observables. Etapas: Alcance y preauditoría, plan de trabajo, trabajos de campo, análisis, informes y notificaciones.
• Riesgos de una auditoría

TALLER DE TRABAJO
• Consiste en realizar 3 Trabajos Prácticos basados en experiencias reales.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Análisis Gap
2 - Auditoría del SGSI
3 - Evidencias y elementos auditablesl

MATERIAL DE SOPORTE
1) Módulos de estudio
2) Material del taller (3 documentos para los Trabajos Prácticos)
3) Otros archivos
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013
• ISO 27002:2013
• ISO 27005
• ISO 31000
• Server audit checklist
• Active Directory audit checklist
• Router audit. checklist
• DNS audit checklist
• Cloud checklist
• Documentación necesaria para certificar la ISO 27001
• Mapeado de controles ISO 27002:2013 vs. ISO 27002:2005
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• Nuevas Perspectivas de la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• El Factor Gente y la Seguridad de la Información
• Seguridad Informática vs. Seguridad de la Información
• Análisis de Impactos y Valuación de Riesgos
• Preguntas y Respuestas Normas de Seguridad de la Información
• Preguntas y Respuestas Riesgos de Seguridad de la Información
• Preguntas y Respuestas Métricas de Seguridad
• Preguntas y Respuestas Continuidad de Negocios
• Preguntas y Respuestas Privacidad y Protección de Datos Personales
• Preguntas y Respuestas ROSI, el ROI de la Seguridad
• Preguntas y Respuestas Firma Digital y Factura Electrónica
• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.
• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.

PROFESOR: Ing. Carlos Ormella Meyer
Ha sido Profesor Universitario de Grado y de Maestría.
Es consultor, analista y auditor interno en seguridad de la información, análisis y gestión de riesgos, protección de datos personales, cumplimiento/certificación de normas ISO 27002/ISO 27001, con especial dedicación en los últimos años a la determinación y uso de:
• Métricas para controles ISO 27002 en base a las métricas de controles NIST
• Valuación de los resultados de los planes de concientización/capacitación bajo los criterios del conocimiento, actitud y comportamiento.
• Objetivos y métricas del tablero del control del Balanced Scorecard para medir la efectividad de las medidas de seguridad así como también la evolución en el tratamiento de observables en una auditoría interna.
• La regla de Bayes para la combinación de datos históricos cuantitativos y estimaciones subjetivas de expertos en los cálculos del ROI de la Seguridad, ROSI.
• Redes Bayesianas para la valuación de riesgos operacionales, especialmente para las entidades financieras que deben dar cumplimiento a los acuerdos de Basilea II y III.
Especializado también en la gestión de cambios organizacionales, implementación de medidas de seguridad en sistemas de Continuidad de Negocios, para tratamiento de Riesgos Operacionales en entidades financieras según Basilea II/III, y conformidad Sarbanes-Oxley. Asimismo se desempeña en trabajos de evaluación económica-financiera y administración de proyectos de seguridad.
Desde hace más de 30 años ha venido participando en Venezuela y Argentina en la implementación y dirección de sistemas de telecomunicaciones por microondas terrestres y satelitales, sistemas de control de estaciones no atendidas, teleproceso, acceso remoto, LAN, WAN, LANs Inalámbricas, sistemas de seguridad de la información, y planes de continuidad de negocios y de contingencia.
Desde 1985 viene dictando cursos y conferencias en Argentina, Venezuela, El Salvador, Ecuador, Perú y Paraguay.
Ha sido editor de la revista LAN & WAN donde ha publicado varios centenares de artículos de tecnología.
Últimamente viene vertiendo sus experiencias en notas y artículos en páginas Web y comunidades como Criptored (www.criptored.upm.es/paginas/docencia.htm).

SEGURIDAD DE LA INFORMACIÓN EN LOS NUEVOS ESCENARIOS DE NEGOCIOS
Taller de Práctica

Las tendencias modernas de la mano de la tecnología han abierto nuevos escenarios de negocios.
Aquí podemos mencionar la Computación en la Nube, BYOD (Traiga su Propio Dispositivo), Big Data, e IoT (Internet de las Cosas).
Precisamente por la novedad de estos escenarios se necesita en primer lugar un claro conocimiento de las características y usos correspondientes.
Además, estos escenarios presentan problemáticas de seguridad diferentes a las conocidas anteriores.
Los requisitos que se imponen de esta manera deben tratarse con medidas especiales y controles apropiados, incluso específicos para estos escenarios.

DURACIÓN: 3 semanas

COMPONENTES DEL CURSO:
• 2 Módulos de Estudio con un total de 15 Temas o Unidades de Estudio
• 15 Preguntas de Auto-evaluación
• 15 Tareas de Comprensión y Colaboración
• 2 Trabajos Prácticos de Taller.
• 3 Foros: Académico, de Consultas y Social
• Más de 20 documentos de lectura y soporte, incluyendo 5 normas ISO.

Sin horarios fijos. El Material de Estudio, los Trabajos Prácticos y el Material de Lectura y Soporte constan de documentos descargables en todo momento de las 24 horas del día.

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración.
El puntaje total determina el tipo de Certificado que se otorga: Participó, Aprobado, y Aprobado con Mención.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Las características de los nuevos escenarios de negocios.
• Las medidas de seguridad de la información en los nuevos ambientes.
• Las herramientas que complementan controles normativos y exigencias propias de los nuevos escenarios.

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Tener un claro conocimiento de las nuevas tendencias en los negocios corporativos.
• Poder discernir las herramientas de complementación en los nuevos escenarios.
• Comprender las cuestiones propias de seguridad y privacidad de la información.

¿QUIÉNES DEBEN PARTICIPAR?:
• Administradores y personal de seguridad de la información.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Personal gerencial de las áreas de nuevos negocios corporativos.
• Personal de Marketing
• Auditores de seguridad y de sistemas, auditores internos y externos.
• Consultores

TEMARIO DEL MATERIAL DE ESTUDIO
I - Computación en la Nube
• Modelos de servicios y de implementación.
• SIEM, Inteligencia de Amenazas. APT, Amenazas Avanzadas Persistentes
• Normas ISO de seguridad: ISO 27001/2, y otras normas ISO específicas.
• Herramientas complementarias: CSF de NIST, CCM de CSA., y Controles críticos de SANS
• SLA, Acuerdos de Nivel de Servicios

II - BYOD, Traiga su propio Dispositivo
• Modalidades de uso de móviles en una empresa. Gestión centralizada y descentralizada
• Objetivos de seguridad y Escenarios de amenazas, Sandbox
• Requisitos de seguridad, MDM

III - BIG DATA
• Parámetros, Indicadores Medidas básicas de seguridad
• Analítica de Datos, uso de SIEM
• Big Data, exigencias. Hadoop
• Analítica de Big Data y SIEM. NoSQL, Bases de Datos Nó Sólo SQL

IV - IoT, Internet de las Cosas
• Conceptos básicos y aplicaciones. Sensores RFID.
• Conectividad entre dispositivos, protocolos. Internet 0. Nuevos protocolos.
• Internet Industrial de las Cosas, IIoT. Protocolos MDM. Infraestructuras críticas. Aplicaciones con IoT. • Requisitos de Seguridad. Consideraciones de Privacidad, Clasificación. ISPC, recomendaciones OTA. El caso Facebook

Anexos
1 - Inteligencia de Amenazas
2 - APT, Amenazas Persistentes Avanzadas
3 - Hadoop
4 - NoSQL, Bases de Datos No Sólo SQL

TALLER DE PRÁCTICA
• El Taller consiste en realizar 2 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Controles ISO 27001 para cuestiones básicas de seguridad en el Ciberespacio, y controles complementos del CSF de NIST.
2 - Preparación de una tabla con productos NoSQL incluyendo características y diferencias

MATERIAL DE SOPORTE Y LECTURA
1) Módulos de estudio
2) Material del taller (2 documentos para los Trabajos Prácticos)
3) Otros archivos:
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 27000:2014 en Inglés
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013 en Inglés
• ISO 27002:2013 en Inglés
• ISO 27005 en Inglés
• ISO 31000 en Inglés
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53Ar4
• NIST 800-55v1
• NIST 800-122
• NIST 800-124
• NIST 800-144
• NIST 800-145
• NIST 800-146
• CSF de NIST
• CCM de CSA
• CAIQ de CSA
• Controles críticos de SANS
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• El Factor Gente y la Seguridad de la Información

<Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.

COMPUTACIÓN EN LA NUBE Y CIBERSEGURIDAD
Taller de Práctica

La cada vez mayor tendencia a las plataformas en la nube trae consigo una cantidad considerable de consideraciones y nuevos riesgos a la seguridad de la información.
Muchas de las medidas de seguridad necesaria pueden concretarse por medio de los controles de la ISO 27001:2013, conforme el marco de trabajo de la ISO 27032.
El manejo de incidentes por medio de SIEM es otra funcionalidad a considerar en su proyección al ciberespacio.
Los controles de la ISO 27001/27002 pueden complementarse con ventaja aplicando estándares como es del Marco de Trabajo de Seguridad en la Nube, CSF, de NIST, la Matriz de Controles en la Nube, CCM, de CSA, así como con las medidas de controles críticos de SANS.

DURACIÓN: 3 semanas

COMPONENTES:
• 3 Módulos de Estudio con un total de 21 Temas o Unidades de Estudio
• 21 Preguntas de Auto-evaluación
• 21 Tareas de Comprensión y Colaboración
• 4 Trabajos Prácticos de Taller.
• 3 Foros: Académico, de Consultas y Social
• Más de 20 documentos de lectura y soporte, incluyendo 5 normas ISO.

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración.
El puntaje total determina el tipo de Certificado que se otorga: Participó, Aprobado, y Aprobado con Mención.

OBJETIVOS:
Reconocer, revisar, analizar y articular:
• Las principales características de los servicios en la Nube.
• La problemática de seguridad en la Nube.
• El trabajo con las relaciones de controles ISO 27001 con los de otros estándares y herramientas.
• El aporte de SIEM en el control de la seguridad en la nube

METAS A ALCANZAR:
Finalizado el curso, los participantes podrán:
• Complementar los controles de la ISO 27001 con mejoras y controles de otras herramientas de ciberseguridad.
• Aplicar las diferentes estrategias de seguridad en ambientes BYOD.

¿QUIÉNES DEBEN PARTICIPAR?:
• Administradores de seguridad de la información que deben administrar la gestión de seguridad en la nube, y establecer y mantener las relaciones con los proveedores de servicios de computación en la nube.
• Gerentes y cuadros medios de Sistemas, Computación y Tecnología.
• Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones de una computación segura en la nube.
• Auditores de seguridad y de sistemas, auditores internos y externos.

TEMARIO DEL MATERIAL DE ESTUDIO
Normas de Seguridad e Introducción a la Computación en la Nube
• Seguridad de la Información, Seguridad Informática y Ciberseguridad.
• Introducción a las normas de Seguridad de la Información
• Gobierno de la Seguridad de la Información.
• Introducción a los Riesgos de Seguridad.
• Revisión de las metodologías de Métricas
• El Factor Gente
• Evaluación de los planes de Concientización.
• Introducción a la Computación en la Nube
• Cuestiones básicas de Seguridad en la Nube

Seguridad en la Nube
• Amenazas a la seguridad en la Nube
• Valuación de riesgos
• Encriptado
• Almacenamiento
• Cuestiones pendientes de Seguridad
• Seguridad en los SLA de Computación en la Nube

Herramientas de control para la Nube
• Manejo de incidentes, SIEM
• Normas ISO para computación en la Nube
• Serie NIST 800-144/145/146
• CSF de NIST
• CCM de CSA
• Controles críticos de SANS
• Seguridad con móviles en escenarios BYOD

TALLER DE PRÁCTICA
• El Taller consiste en realizar 4 Trabajos Prácticos basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares.

Documentos sobre los que se realizan los Trabajos Prácticos
1 - Controles ISO 27001 en Ciberespacio.
2 - Complementación de controles del CSF de NIST con controles ISO 27001/27001.
3 - Complementación de controles del CCM de CSA con controles ISO 27001/27001.
4 - Mapeado controles SANS a controles ISO 27001

MATERIAL DE SOPORTE Y LECTURA
1) Módulos de estudio
2) Material del taller (4 documentos para los Trabajos Prácticos)
3) Otros archivos:
• Normas ISO de Seguridad de la Información – Abstract
• Las nuevas versiones de las normas ISO 27001 e ISO 27002
• ISO 17788:2014 en inglés
• ISO 27000:2014 en Inglés
• ISO 27001:2005 en Español
• ISO 27002:2005 en Español
• ISO 27001:2013 en Inglés
• ISO 27002:2013 en Inglés
• ISO 27005 en Inglés
• ISO 31000 en Inglés
• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005
• NIST 800-53
• NIST 800-55v1
• NIST 800-144
• NIST 800-145
• NIST 800-146
• CSF de NIST
• CCM de CSA
• CAIQ de CSA
• Controles críticos de SANS
• Gobierno de Seguridad de la Información y Gobierno Corporativo
• El Factor Gente y la Seguridad de la Información

Para comentarios y mayor información sobre este y otros cursos así como de asesoramiento y consultoría por favor dirija su mensaje a Nancy Clark Cedeño.

Home

Charlas

Cursos

Artículos

Documentación

Artículos L&W

Resúmenes