El curso tiene como objetivo proporcionar a los asistentes los principios teóricos y prácticos para evaluar Sistemas de Gestión de Seguridad en la información, que le permitan establecer conformidad con relación a la norma ISO/IEC 27001:2005.

Dirigido

1. Directivos, Gerentes y Profesionales en Ingeniería de Sistemas de Información.
2. Gerentes de Tecnología Informática, Auditores de Sistemas, Auditores contables, Jefes y/o Directores de Departamentos de Sistemas de Información, Administradores de Redes, Directores de Centros de Informática.
3. Toda persona que desee conocer cómo funcionan y auditan los Sistemas de de Gestión de la Seguridad de la Información.

Beneficios con ISO 27001:2005

• Conocer los requisitos y antecedentes para el establecimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI) en las organizaciones.
• Promover la adopción de un enfoque basado en procesos con el fin de mejorar la eficacia del Sistema de Gestión de la Seguridad de la Información (SGSI).
• Conocer como identificar, cuantificar y priorizar los riesgos de la Seguridad de la información en la organización con relación al Sistema de Gestión de la Seguridad de la Información (SGSI).

Contenido

• Introducción
• Antecedentes
• Información y Seguridad de Información
  • El ciclo de vida de la información y el impacto en la organización.
  • Tipos de información.
  • Aspectos de la seguridad de la información
  • Factores claves de éxito.
  • Amenazas, vulnerabilidades, riesgos.
  • Relación con otros estándares internacionales.
  • Caso práctico

• Conceptos generales de auditoria.
• Propósito de la auditoria interna al SGSI.
• La certificación.
• Enfoque a procesos.
• Requisitos de la norma ISO/IEC 20000-1:2005.
• Auditores y certificación.
• Conceptos auditorias internas.
• Análisis documentación.
• Programación de la auditoria.
• Planeación de la auditoria.
• Preparación de una auditoria (preparación de listas de chequeo).
• Ejecución auditoria internas.
• Gestión del SGSI.
• Auditando la política del SGSI, Organización del SGSI, activos, seguridad del recurso humano, seguridad física y del entorno, comunicaciones y operaciones, control de acceso, adquisición, desarrollo y mantenimiento de sistemas de información, incidentes de seguridad de información, continuidad del negocio y cumplimiento.
• Auditando la responsabilidad y revisión de la dirección.
• Evidencia objetiva.
• Hallazgo, Redacción No conformidades.
• Clasificación de no conformidades

Metodología

• Clases expositivas, con recursos audiovisuales.
• Talleres grupales de aplicación.
• Examen Final.

Material de Apoyo

• Se entregará una carpeta con los contenidos y talleres del curso
• Certificado de asistencia y/o de aprobación
• Incluyen breaks

Inversión: USD 320.00 más IVA por participante. (Pago de contado, todas las tarjetas de crédito).

Instructor: Profesional y Auditor Líder con amplia experiencia en la realización de auditorias, parte del staff de auditores de SGS.

Duración: 24 horas (3 días)

Prerrequisito: Tener conocimiento previo de la norma ISO 27001:2005

Certificado Otorgado: SGS Ecuador extenderá certificado mundialmente reconocido de Auditor Interno ISO 27001:2005 (Sistema de Gestión de Seguridad en la Información)

Cronograma de Actividades: Quito 7, 14 y 21 de Noviembre.

Para mayor información contáctese:
Av. República del Salvador #880 y Suecia. Piso 5. Telf: 02-2 252 300, Fax ext. 578
Mariela Echeverría ext. 528, e-mail: mariela.echeverria[arroba]sgs.com

La norma ISO 27002, es un stándar internacional de buenas prácticas sobre la gestión de la seguridad de la información, cuyo objetivo es crear una cultura organizacional sobre el manejo e implementación de la seguridad a través de políticas, procesos, procedimientos y controles para minimizar el impacto de las diferentes amenazas a las que está expuesta la información.

Por ese motivo ISEC (Information Security INC.), organiza, el curso “Sistema Gestión Seguridad Información ISO 27002 / 27001″, que será dictado en Quito, desde el próximo martes 8 hasta el sábado 12 de septiembre.

Los objetivos del curso son los siguientes:

• Conocer los requerimientos de la norma ISO 27001.
• Identificar el uso y los controles de un Sistema de Gestión de Seguridad de la Información.
• Comprender el Diseño y la implementación de un Sistema de Gestión de Seguridad de la Información.
• Comprender la importancia de una Revisión y una Auditoria de un Sistema de Gestión de Seguridad de la Información.

El temario será el siguiente:

• Introducción general de Norma ISO 27002.
• Historia.
• Aspectos generales del Proceso de Certificación en una Compañía.
• Dominio 1: Política de Seguridad.
• Dominio 2: Organización de Seguridad.
• Dominio 3: Administración de Activos.
• Dominio 4: Seguridad de los Recursos Humanos.
• Dominio 5: Seguridad Física y Ambiental.
• Dominio 6: Gestión de Comunicaciones y Operaciones.
• Dominio 7: Sistema de Control de Accesos.
• Dominio 8: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
• Dominio 9: Administración de Incidentes de Seguridad de la Información.
• Dominio 10: Plan de Continuidad del Negocio.
• Dominio 11: Cumplimiento.
• Taller Práctico: Cómo implementar los diferentes dominios de la Norma a través de un caso de estudio.

Se trata de un curso muy interesante, tiene una duración de 20 horas. Los interesados pueden solicitar mayor información comunicándose con Karina Mora a los teléfonos (02) 3317739 o al correo info (at) isec-ecuador.com.

ISO 27001
Chief Information Officer (CIO), Chief Architect, Head Development, Head IT Administration, Compliance, Audit y Risk and Security. Ver www.iso.org.

COBIT 4.1
Ejecutivos de negocio, CIO, Business Process Owner y con equipos de cumplimiento, Audit y Risk and Security. Ver www.itgi.org y www.isaca.org/cobit.

ITIL
Marco de trabajo (framework) para la Administración de Procesos y de Servicios IT. Es independiente de la industria y la tecnología. Ver www.itil-itsm-world.com.

ISO 20000
CIO, Business Process Owner, Chief Architect, Head Operations, Head Development, Head IT Administration, PMO (Oficinas de Gestión de Proyectos). Ver www.iso.org.

CMMI
Head Development y PMO. Ver www.sei.cmu.edu/cmmi.

AS/NZS 4360
CIO, Business Process Owner, Chief Architect, Compliance, Audit, Risk and Security, PMO. Ver www.standars.com.au.

BS 7799-3
CIO, Business Process Owner, Chief Architect, Compliance, Audit, Risk and Security, PMO. Ver www.bsi-global.com.

BS 2599
Ejecutivos de negocio, CIO, Business Process Owner y con equipos de cumplimiento, Audit, Risk and Security. Ver www.bsi-global.com.

ANSI/TIA-942-2005
Guía para el diseño y elementos de construcción de un centro de datos de cualquier tamaño. Ver www.ansi.org y http://www.tiaonline.org.

COSO
Marco general de control interno (Ambiente de control, Evaluación de riesgos, Actividades de control, Información y comunicación, Supervisión y seguimiento del sistema de control). Util para el cumplimiento de la sección 404 de SOX. Ver www.coso.org.

SAS 70
La declaración número 70 del Statement of Auditing Standards (SAS).
es un estándar sobre auditorías reconocido internacionalmente y desarrollado por el Instituto Americano de Contadores Públicos Certificadas (AICPA). Ver www.aicpa.org.

La Seguridad de la Información es un concepto “estándar” aplicable a distintas realidades y objetivos de negocio. Y si bien todos los estándares son una buena guía metodológica y están creados bajo una mirada común, no hay soluciones estándar porque cada organización tiene necesidades propias.

Por Miguel Iván Cisterna (Especialista de Seguridad Global Crossing de Chile)
Fuente: CXO Community

Ya sea por cotizar en la bolsa de Estados Unidos o por pertenecer a un segmento que tiene algún tipo de control o normativa de parte de los gobiernos o de las mismas empresas, es necesario adecuarse a los estándares que aseguren la inserción en el mercado global.

La distribución geográfica de los estándares más utilizados se divide mundialmente de la siguiente manera:

• Internacionales: ISO/IEC 27001 – 27002, ISO/IEC 20000, ISO/WD 31000.
• Norteamérica: Bill 3494/2000, Bill 3221/2004, Bill 198, COBIT, COSO, SAS 70, Sarbanes-Oxley, Homeland Security, CMMI.
• Sudamérica: NBR 17799/27001, NTP 17799
  NCH 2777, Regulaciones SB, Decreto 83, Exigencias puntuales locales.
• Europa: BS 25999, BS 7799-3, KongTraG, Basell II, DPA, EUDP, IAS, Companies Act, BDSG, LOP, Reg 357, Article 46, King II Report, Banking Act.
• Asia: Japan Privacy, Japanese SOX, Basell II & FICS
• Australia y Nueva Zelandia: AS/NZS 4360, CLERP 9, PA&PAA

La tendencia esta claramente inclinada hacia los estándares que permiten detectar el fraude (internos y externo), los sistemas de gestión integrados, estándares para firma digital, control de desarrollo de software, data base intrusión prevention, entre otros.

La mayoría de las regulaciones están orientadas a los procesos, gobernabilidad y reportes, involucrándose con aspectos tecnológicos.

Algunos estándares al ser certificables, generan un cumplimiento de una regulación específica.

Existen muchas regulaciones que existen y obligan a diferentes compañías a implementar controles para dar cumplimiento a las diferentes regulaciones.

Independiente de la regulación que una empresa debe cumplir, puede encontrar mas de un estándar que le permita estar en cumplimiento de dicha regulación.

Por: Miguel Iván Cisterna (Especialista de Seguridad – Global Crossing de Chile)
Fuente: Community CXO

Acceso libre a los distintos documentos en pdf en Cabinet Office.

Fuente: ISO27001.es