Gestión de Riesgos de Seguridad de la Información

riesgosinfo - Carlos Ormella Meyer

Descripción del Curso

Riesgos de Seguridad de la Información

Curso a Distancia

RIESGOS DE SEGURIDAD DE LA INFORMACION

Taller de práctica

Desde la emisión de las normas de seguridad de la información ISO 27001 y 27002, se ha venido poniendo en claro su importancia a nivel corporativo en los negocios de una empresa, más allá del recurrente concepto básico de la seguridad informática limitado al área TIC.

Los diferentes métodos de cálculo de riesgos dan lugar a una serie de posibilidades y cuestiones.

Por su parte, la norma ISO 27005 proporciona un importante aporte que fortalece la estrategia auto-consistente de la serie ISO 27k, al establecer cómo se analizan y gestionan los riesgos.

Y además, la nueva norma ISO 31000 de Riesgos Corporativos establece conceptos y criterios comunes, como los de Oportunidades y Riesgos Positivos, con otras normas de riesgos,.

 

DURACION: 3 semanas

 

COMPONENTES:

• 3 Módulos de Estudio.

• 8 Preguntas de Auto-evaluación

• 3 Foros: Académico para intercambio entre participantes, Foro de Consultas con el Instructor, y Foro Social

• Más de 30 documentos de Lectura y Soporte, incluyendo 7 normas ISO y, entre otros, una serie de Preguntas y Respuestas de lectura simple, conceptualmente organizadas en forma secuencial, sobre diferentes temas de interés

 

Sin horarios fijos. El Material de Estudio, los Trabajos Prácticos y el Material de Lectura y Soporte constan de documentos descargables en todo momento de las 24 horas del día.

 

CALIFICACIONES Y CERTIFICADOS: Se califican los Trabajos Prácticos, las Preguntas de Auto-evaluación y las Tareas de Comprensión y Colaboración.

El puntaje total determina el tipo de Certificado que se otorga: Participó, Aprobado, y Aprobado con Mención.

 

¿QUIÉNES DEBEN PARTICIPAR?:

• Administradores de seguridad de la información que deben administrar la gestión de riesgos e informar a la gerencia media y superior en cuanto a los negocios de la empresa.

• Gerentes de Proyectos  cuadros medios de Sistemas, Computación y Tecnología.

• Gerentes y Directores de Riesgos que busquen integrar los riesgos de Seguridad de la Información en los riesgos corporativos de una organización.

• Auditores de seguridad y de sistemas, auditores internos y externos.

 

OBJETIVOS:

Reconocer, revisar, analizar y articular:

• Los riesgos organizacionales, operacionales, físicos y de sistemas TIC, y metodologías para su determinación.

• El análisis y gestión de riesgos.

• Los factores que producen la resistencia al cambio frente a la implementación de medidas de seguridad y las bases para un buen manejo de las situaciones, y obtener así resultados consistentes y sustentables.

La participación activa en un taller realizando 7 trabajos prácticos, con material disponible para proyectos particulares.

 

METAS A ALCANZAR:

Finalizado el curso, los participantes podrán:

• Diferenciar los riesgos organizacionales y operacionales de los técnicos de sistemas TIC.

• Tener un sólido entendimiento de las distintas formas de valuar los riesgos de seguridad..

 

TEMARIO DE LA PRESENTACIÓN

MÓDULO DE ESTUDIO 1 - Aseguramiento y normas de seguridad

• El aseguramiento de la información y el Corporate Governance

• Seguridad de la Información y Seguridad Informática

• Norma ISO 27002

• Norma ISO 27001

• Gobierno de Seguridad de la Información

 

MÓDULO DE ESTUDIO 2 - Métodos de cálculo de riesgos

Formas de análisis de riesgos

• Cálculo de riesgos por las entidades

• Cálculo de riesgos por las pérdidas

• Graficado de pérdidas, LDA, Valor en Riesgo y Colas anchas

• Riesgos Positivos. Oportunidades

• Variantes del cálculo de riesgos

• Incertidumbre de los riesgos

• Regla de Bayes

• El Factor Gente

• Simulación Monte Carlo

• Decisiones frente a los riesgos determinados

• Riesgo Residual y Salvaguardas

• Proceso de Valuación y Tratamiento de los riesgos

Anexo 1: Probabilidades estadísticas

 

MÓDULO DE ESTUDIO 3 - Normas de riesgos de Seguridad

• Norma ISO 27005 de gestión de riesgos de seguridad

• Norma ISO 31000 de gestión de riesgos corporativos

• Mejoras en el cálculo de riesgos

 

TALLER DE TRABAJO

Consiste en realizar 4 Trabajos Prácticos sobre documentos con antecedentes basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares,

 

MATERIAL DE SOPORTE

1) Módulos de estudio

2) Material del taller

3) Otros archivos

• Normas ISO de Seguridad de la Información – Abstract

• ISO 27000:2014 en Inglés

• ISO 27001:2005 en Español

• ISO 27002:2005 en Español

• ISO 27001:2013 en Inglés

• ISO 27002:2013 en Inglés

• ISO 27005 en Inglés

• ISO 31000 en Inglés

• Objetivos de Control y Controles de la ISO 27002:2013, y mapeado con los de la ISO 27002:2005

• NIST 800-53

• NIST 800-55v1

• Controles NIST (De la publicación 800-53r1)

• Listado y enlaces de publicaciones de la serie 800 del NIST

• Gobierno de Seguridad de la Información y Gobierno Corporativo

• Hacia un Marco de Medición – GQM (en inglés)

• Nuevas Perspectivas de la Seguridad de la Información

• Seguridad Informática vs. Seguridad de la Información

• Análisis de Impactos y Valuación de Riesgos

• El Factor Gente y la Seguridad de la Información

• El ROI de la Seguridad y las Primas de seguro

• Preguntas y Respuestas Normas de Seguridad de la Información

• Preguntas y Respuestas Riesgos de Seguridad de la Información

• Preguntas y Respuestas Métricas de Seguridad

• Preguntas y Respuestas Continuidad de Negocios

• Preguntas y Respuestas Privacidad y Protección de Datos Personales

• Preguntas y Respuestas ROSI, el ROI de la Seguridad

• Preguntas y Respuestas Firma Digital y Factura Electrónica

• Preguntas y Respuestas Bancos, Basilea II y Riesgos Operacionales.

• Preguntas y Respuestas Sarbanes-Oxley y Seguridad de la Información

 

Instructor: Ing. Carlos Ormella Meyer

Ha sido Profesor Universitario de Grado en la UTN y de Maestría en la UMSA.

Es consultor, analista y auditor interno en seguridad de la información, análisis y gestión de riesgos, protección de datos personales, cumplimiento/certificación de normas ISO 27002/ISO 27001, con especial dedicación en los últimos años a la determinación y uso de:

• Métricas para controles ISO 27002 en base a las métricas de controles NIST

• Valuación de los resultados de los planes de concientización/capacitación bajo los criterios del conocimiento, actitud y comportamiento.

• Objetivos y métricas del tablero del control del Balanced Scorecard para medir la efectividad de las medidas de seguridad así como también la evolución en el tratamiento de observables en una auditoría interna.

• La regla de Bayes para la combinación de datos históricos cuantitativos y estimaciones subjetivas de expertos en los cálculos del ROI de la Seguridad, ROSI.

• Redes Bayesianas para la valuación de riesgos operacionales, especialmente para las entidades financieras que deben dar cumplimiento a los acuerdos de Basilea II y III.

Especializado también en la implementación de medidas de seguridad en sistemas de Continuidad de Negocios, el tratamiento de Riesgos Operacionales en entidades financieras según Basilea II/III, conformidad Sarbanes-Oxley en seguridad, y la gestión de cambios organizacionales. Asimismo se desempeña en trabajos de evaluación económica-financiera y administración de proyectos de seguridad.

Desde hace más de 30 años ha venido participando en Venezuela y Argentina en la implementación y dirección de sistemas de telecomunicaciones por microondas terrestres y satelitales, sistemas de control de estaciones no atendidas, teleproceso, acceso remoto, LAN, WAN, LANs Inalámbricas, sistemas de seguridad de la información, y planes de continuidad de negocios y de contingencia.

Desde 1985 viene dictando cursos y conferencias en Argentina, Venezuela, El Salvador, Ecuador, Perú y Paraguay.

Ha sido editor de la revista LAN & WAN donde ha publicado varios centenares de artículos de tecnología.

Últimamente viene vertiendo sus experiencias en notas y artículos en páginas Web y comunidades como Criptored (www.criptored.upm.es/paginas/docencia.htm).

 


Administrador(es) del curso riesgosinfo : Carlos Ormella Meyer
Administrador de Plataforma de Estudio Virtual : Ivan Sawicki
Impulsado por Claroline © 2001 - 2011