Sistemas de gestión de la seguridad de la información ISO 27001 - Auditor interno ISO 27001:2013

Diplomado

Oferta de valor

La gestión de la Seguridad de la Información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un Sistema de Gestión de Seguridad de la Información (SGSI), que basado en la Norma ISO 27001 podría considerarse, por analogía, con una norma internacional como ISO 9001, como el sistema de calidad para la seguridad de la información.

El participante se capacitará para participar en procesos de implementación de un sistema de gestión de la seguridad de la información. Conocerá y desarrollará habilidades para que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Este certificado lo emite el Instituto Latinoamericano de la Calidad (INLAC) Organismo de Enlace Liaison Member Tipo A para Latinoamérica, de los comités de la ISO TC-176 (Calidad), TC-207 (Ambiental), ISO CASCO (Evaluación de la conformidad), del ISO-TMB-WG (Responsabilidad Social), TC 135 (Ensayos no destructivos), JTC-1 (Tecnología de la información), PC 283 (Seguridad industrial y salud ocupacional), comités encargados de desarrollar las normas de las series 9000, 14000, 26000, 45000, 27000 y normas de apoyo. Igualmente hace parte de los Comités ISO TC 215 Informática en salud e ISO/PC 288 Educational organizations management systems.

Objetivos

  • Sensibilizar a los participantes en la importancia del concepto “activo de información”.
  • Conocer los requisitos para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI) en las organizaciones, basado en los requisitos de la Norma ISO 27001 versión 2013.
  • Promover la adopción de un enfoque basado en procesos con el fin de mejorar la eficacia del Sistema de Gestión de la Seguridad de la Información (SGSI).
  • Entender los requerimientos y la necesidad de establecer la política y objetivos de la seguridad de la información y de su implementación, operación y definición de controles.
  • Desarrollar habilidades para la realización de auditorías internas y la formación de expertos en Sistemas de Gestión de la Seguridad de la Información mediante el análisis de casos prácticos y juego de roles, basados en la Norma ISO 19011 versión 2011.
  • Informar sobre las normas de la serie 27000 vigentes y que están siendo desarrolladas, presentadas directamente por conferencistas que hacen parte como INLAC Colombia de los comités que desarrollan estas normas.

Dirigido a

Gerentes, directores, profesionales, tecnólogos y estudiantes de último semestre que necesiten recibir entrenamiento como auditores internos en Sistemas de Gestión de Seguridad de la Información. De igual forma, el programa es útil para aquellos que participan en procesos de implementación del sistema, que requieran tener habilidades en auditorías internas, como parte de su desarrollo profesional o que tengan la responsabilidad de planear o ejecutar auditorías internas en seguridad de la información.

Metodología

Presentación de conceptos y experiencias en la implementación de sistemas y en el desarrollo de auditorías en diversos sectores, con ejercicios y casos de trabajo individual y retroalimentación grupal. Talleres prácticos de aplicación para los participantes sobre los temas específicos del programa, con el uso de formatos y metodologías típicamente usados en la implementación y las auditorías de los sistemas de gestión.

Contenido

Módulo I

  • Fundamentos de la seguridad de la información
  • El estándar ISO 27001 y su aplicabilidad en una organización
  • Términos y definiciones
  • El Ciclo PHVA y la norma ISO 27001
  • Enfoque por procesos

Módulo II. Seguridad física y biométrica

  • Fundamentos seguridad física y biometría
  • Monitoreo
  • Detección de intrusos
  • Control de accesos
  • Gestión de seguridad
  • Activos, políticas y roles
  • DRP

Módulo III. Evaluación del riesgo

  • Activos
  • Tipos de riesgos
  • Elementos del riesgo
  • Controles
  • Metodología evaluación del riesgo
  • Identificación del riesgo
  • Estimación del riesgo
  • Evaluación del riesgo
  • Tratamiento del riesgo
  • Aceptación del riesgo
  • Comunicación del riesgo

Módulo IV. Sistema de gestión de seguridad de la información

  • Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI.
  • Requisitos de documentación y control de la misma.
  • Sistemas de Gestión de Seguridad de la Información ISO 27001:2013
    • El Ciclo PHVA 27001
    • Normas ISO de la serie 27000
    • Objeto y campo de aplicación
    • Compatibilidad con otros sistemas de gestión
    • Referencias normativas
    • Términos y definiciones
    • Contexto de la organización
    • Principios OECD, el estándar ISOP 27001 y el PHVA
    • Liderazgo
    • Planificación del Sistema de Seguridad de la Información
    • Objetivos de Seguridad de la información y planes para lograrlos
    • Recursos, competencia, conciencia, comunicación y documentación
    • Operación del Sistema de Seguridad de la Información
    • Evaluación del riesgo
    • Evaluación y desempeño del Sistema de Seguridad de la Información
    • Objetivos de control y controles de referencia
    • Seguridad en las redes
    • Mejora del Sistema de Seguridad de la Información

Módulo V. Seguridad en las redes

  • Modelos de redes
  • Redes con TCP/IP Redes IP con LAN – WAN
  • Internet/Intranet/Extranet
  • Conceptos de networking
  • Conexiones a Internet e Internet a través de redes eléctricas
  • VPN – RAS
  • Seguridad en redes informáticas, debilidad y vulnerabilidad de una red básica
  • Modelos de seguridad para redes
  • Acceso no autorizado y conceptos de sniffing y spoofing
  • Hacking, cracking
  • Negación de servicios en una red y autenticación en redes
  • Integración de redes, IDS y análisis de tráfico en redes
  • Firewalls - funcionalidades
  • Impacto del aseguramiento de la red en su desempeño

Módulo VI. Auditorías internas

  • Conceptos básicos de auditorías
  • Programa de auditorías, preparación, gestión y riesgos de la auditoría
  • Plan de auditoría y preparación de las listas de verificación
  • Selección del equipo auditor
  • Preparación de la auditoría y reunión de apertura
  • Técnicas de la auditoría
  • Reunión de cierre y presentación de los hallazgos de la auditoría
  • Redacción de no conformidades
  • Preparación informe
  • Auditorías de seguimiento
  • Acciones correctivas
  • Conceptos básicos del proceso de certificación
  • Examen de conocimientos

Conferencistas

Mario Pratto

Ingeniero de sistemas, especialización en Gestión para el Desarrollo Empresarial. ITIL ver. 3 - auditor líder de Certificación del British Standards Institute (BSI) Inglaterra – BS ISO/IEC 27001:2005 Seguridad de la Información avalado por IRCA, auditor líder de Certificación en Sistemas de Gestión de Calidad ISO/IEC 9001:2008 y Sistemas de Gestión Ambiental, ISO/IEC 14.001:2006. Auditor líder en Certificación para los Sistemas de Prestación de Servicios de Tecnología de la Información - ISO/IEC 20.000:2005, COBIT foundation certificate. Auditorías internacionales como Lead Auditor Certification AENOR España en Argentina, Perú, México, Chile y Ecuador.

Desarrolla actividades de consultoría, asesoría, auditoría e interventoría bajo estándares internacionales ISO 27001 ISO 20000, CMMI, proyectos BCP (Business Continuity Planning), ITIL v3. Ha sido representante de INLAC Colombia en los comités de la ISO que discuten y revisan las normas ISO de la serie 27000.

Juan Carlos Reyes

Ingeniero de sistemas con experiencia en diversos campos de los sistemas como son la ingeniería de software, las redes de comunicación y la seguridad informática a todo nivel. Exdirector del Centro Linux de la Universidad del Valle, ha participado en proyectos de transferencia de tecnología de la mano de instituciones nacionales e internacionales. Participó también en las plenarias de la Ley Marco de Telecomunicaciones y Servicios Postales del Ministerio de Tecnologías de la Información y las Comunicaciones, antes Ministerio de Comunicaciones.

Dentro de su experiencia están temas relacionados con redes de comunicaciones, sistemas físicos de control de acceso biométricos y no-biométricos, telefonía básica y celular; y proyectos de seguridad informática. Ha realizado numerosas investigaciones de fraude informático. Analista de riesgos de seguridad de la información en múltiples entidades en América Latina. Es CCSA de CheckPoint, GCFA (GIAC Certified Forensic Analyst) del SANS Institute.

Auditor líder de la Norma ISO 27001 certificado por el British Standards Institution, miembro activo de HTCIA (High Technology Crime Investigation Association) con sede en California y de ACFE (Association of Certified Fraud Examiners). Fue director de Investigación y Desarrollo para la firma Seltika, Seguridad Informática y Tecnología, Directos de Antifraude, Conferencista y consultor INLAC en cursos de Auditor Interno ISO 27001. Ha sido representante de INLAC Colombia en los comités de la ISO que discuten y revisan las normas ISO de la serie 27000.

Héctor Garzón Granados

Ingeniero. Master of Science en Calidad Industrial - Universidad Federal de Río de Janeiro. Ingeniero de Seguridad Industrial y Medicina del Trabajo, Sao Paulo (Brasil). Curso especialista en Alta Gerencia. Especialista en Control Organizacional y de Gestión - Universidad de los Andes, curso de Gestión Ambiental e ISO 14000 de la ISO, certificado ISTO en conocimiento e interpretación Normas ISO 9000, auditor líder BVQI, Pe-Baltas, IRCA.

Fue coordinador corporativo de sistemas integrados de gestión HSEQ de Ecopetrol, consultor Naciones Unidas (ONUDI) y CAF en calidad y desarrollo industrial. Evaluador del Premio Colombiano a la Calidad desde 1992. Miembro del Comité TC-176 (Calidad) y TC 207 (Ambiental) de la ISO. Senior member de la ASQ, participa en los comités de calidad, auditoría, metrología del Icontec desde 1991, participa en los grupos de la ISO que revisan las normas ISO 90011, 14001 para la versión 2015 y la ISO 45001 para 2016. Vicepresidente corporativo de INLAC. Director ejecutivo de INLAC Colombia. Consultor y conferencista internacional en Sistemas de Gestión. Coordinador académico del Programa Tutor ISO 9001:2008 de la CCB. Instructor para cursos de auditor líder en Sistemas de Gestión ISO 9001, 14001 y OHSAS 18001 registrado ante RAB/QSA.

Giancarlo Martínez

Ingeniero de la Universidad Nacional de Colombia, especialista en Mercadeo de la Universidad del Rosario, especialista en Gestión y Auditoría, diplomado en Formación de Consultores Empresariales de la Cámara de Comercio de Bogotá, en Auditoría y Seguridad en Sistemas ISO 27001 de la Universidad Javeriana, programa especializado en Gestión del riesgo en informática y telecomunicaciones ISO 2700, curso de Entrenamiento para Auditor Líder YARSHLEY de Inglaterra, consultor para el programa CYGA para pymes del Icontec con el apoyo de BID/FOMIN, consultor de Icontec, Inlac Colombia y UL de Colombia S.A.S. Auditor interno de Sistema de Gestión de Seguridad de la Información (SGSI), de calidad y de ambiente. Auditor y consultor de diversas empresas y entidades del sector público y privado en las áreas de manufactura, servicios, sector bancario, etc., en Sistemas de Gestión de Seguridad de la Información.

Óscar Morales

Ingeniero de sistemas. Certificaciones: CISM, CFC. COBIT Foundation Certificate, CCSA (CheckPoint Certified Security Administrator). CCSE (Checkpoint Certified Security Engineer). Ha sido o es miembro de ISACA, OCEG (Open Compliance & Ethics Group), CSI (Computer Security Institute) y candidato para CRISC (Certified in Risk and Information System Control). Experiencia en gobierno de seguridad, gestión de riesgos y modelos de protección de datos, planes de continuidad de negocio. Ha trabajado y desarrollado actividades de gerencia, consultoría e implementación de SGSI para empresas como Hewlett Packard de Colombia Redcom Ltda., New Net S.A., Fonade, Dakya Ltda., Superintendencia de Sociedades, Ecopetrol S.A., Schlumberger, Asobancaria, Banco Unión Colombiano, ETEK International IBM.