RIESGOS Y MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN

RIESGOS Y MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN Seminario Taller 2011 FORMACION EJECUTIVA GESTION DEL TALENTO HUMANO GERENCIA DE PROYECTOS CONSULT
Author:  Pedro Vega Valverde
7 downloads 28 Views 231KB Size
Report
DOWNLOAD PDF

Recommend Stories

Riesgos derivados de las condiciones de seguridad
TEMA: Taller de Conceptos básicos pero Fundamentales de Peligros, riesgos, Seguridad y Análisis de Riesgos
INSTITUTO MEXICANO DEL PETROLEO DIRECCION DE SEGURIDAD Y MEDIO AMBIENTE SUBCOMPETENCIA ANALISIS DE RIESGOS TEMA: Taller de Conceptos básicos pero Fun
1. Precauciones de seguridad Riesgos Advertencias Precauciones
DICCIONARIO DE RIESGOS EN SALUD OCUPACIONAL Y SEGURIDAD INDUSTRIAL
Seguridad y Prevención de Riesgos en el Almacén (Online)
Seguridad y Prevención de Riesgos en el Almacén (Online) Titulación certificada por EUROINNOVA BUSINESS SCHOOL Seguridad y Prevención de Riesgos en
UF0928 Seguridad y Prevención de Riesgos en el Almacén
UF0928 Seguridad y Prevención de Riesgos en el Almacén TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRE
Seguridad e Higiene de la Mujer Riesgos en la industria del textil, vestuario y cuero
Seguridad e Higiene de la Mujer Riesgos en la industria del textil, vestuario y cuero http://www.lomb.cgil.it/ambientelavoro/estexile.htm Indice de
Riesgos de la naturaleza
Factores ambientales de riesgo. Modificaciones de la naturaleza. Catastrofes naturales. Tormentas. Vulcanismo. Medidas preventivas. Agentes naturales
Ventajas y Riesgos de la 'Nube'
Ventajas y Riesgos de la 'Nube' La nube está de moda en estos momentos. Y la verdad es que el software en la nube puede ser un valor tremendo. No es
UE: Salud, Seguridad y Riesgos respecto a los campos EM

Story Transcript

RIESGOS Y MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN Seminario Taller

2011 FORMACION EJECUTIVA GESTION DEL TALENTO HUMANO GERENCIA DE PROYECTOS

CONSULTE NUESTRO CALENDARIO DE CURSOS

WWW.CORPORACIONELITE.ORG 593-2-3226-851 / 593-2-6039-521 / 593-9-9463-231

RIESGOS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN

RIESGOS Y MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN ANTECEDENTES

Desde la emisión de las normas de seguridad de la información ISO 27001 y 27002, se ha venido poniendo en claro su importancia a nivel corporativo en los negocios de una empresa, más allá del recurrente concepto básico de la seguridad informática limitado al área TIC. Por su parte, las nuevas normas ISO 27005 y 27004 proporcionan un importante aporte que fortalece la estrategia auto-consistente de la serie ISO 27k, al establecer cómo se analizan y gestionan los riesgos, y cómo se mide la eficacia y eficiencia de las medidas de seguridad que se implementen para reducir tales riesgos, estableciendo el conjunto todo un marco que comparte la visión corporativa de negocios, especialmente mediante el uso del Balanced Scorecard. OBJETIVOS

Reconocer, revisar, analizar y articular:  Los riesgos organizacionales, operacionales, físicos y de sistemas TIC, y metodologías para su determinación.  El análisis y gestión de riesgos.  La ISO 27005 para la gestión de riesgos y la ISO 27004 para las métricas de la eficiencia del SGSI de la ISO 27001 y de la efectividad de los controles implementados.  Los factores que producen la resistencia al cambio frente a la implementación de medidas de seguridad y las bases para un buen manejo de las situaciones, y obtener así resultados consistentes y sustentables.  La participación activa en un taller de 10 horas revisando 20 documentos de trabajo y realizando 12 trabajos prácticos, con material disponible para proyectos particulares.

www.corporacionelite.org (t) 593-2-3226-851 / 593-2-6039-521 (c) 593-9-9463-231

[email protected] Quito - Ecuador

2

RIESGOS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN

METAS A ALCANZAR Finalizado el curso, los participantes podrán:  Diferenciar los riesgos organizacionales y operacionales de los técnicos de sistemas TIC.  Tener un sólido entendimiento de las distintas formas de valuar los riesgos de seguridad y del ciclo de vida de la gestión de los mismos.  Poder clasificar las verificaciones de eficiencia y efectividad de las medidas de seguridad en el contexto del necesario alineamiento de los objetivos operacionales de seguridad con los objetivos estratégicos a nivel corporativo.

QUIENES DEBEN ASISTIR  Personal superior y funcionarios que necesitan conocer el alcance corporativo de la problemática y soluciones en cuanto a seguridad de la información y su trascendencia en los riesgos de negocios.  Gerentes y cuadros medios de Sistemas, Computación y Tecnología. Administradores de seguridad de la información que deben administrar la gestión de riesgos, mensurar las medidas de seguridad y justificar las inversiones correspondientes.  Auditores informáticos y de sistemas, auditores internos y externos. CONTENIDO INTRODUCCION  Principios y guías de la OECD, responsabilidades del directorio de una organización.  Tipos de riesgos: organizacionales, operacionales, de sistemas TIC, y físicos. Seguridad de la Información vs. Seguridad Informática. NORMAS BASICAS DE SEGURIDAD DE LA INFORMACION    

Repaso del contenido y alcance de la norma ISO 27002. Revisión del proceso PDCA de mejoramiento continuo de la ISO 27001. Documentación del SGSI. Trazabilidad y Responsabilidad. La serie ISO 27k y la integración de las nuevas normas.

www.corporacionelite.org (t) 593-2-3226-851 / 593-2-6039-521 (c) 593-9-9463-231

[email protected] Quito - Ecuador

3

RIESGOS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN

GESTION DE RIESGOS DE SEGURIDAD  Riesgos, análisis por las pérdidas o por las entidades que lo determinan.  Valuación de riesgos por las pérdidas. Análisis cuantitativo, ALE, impactos y frecuencias anuales de ocurrencia. LDA y VaR. Limitaciones del LDA, Bayes y Monte Carlo.  Pérdidas por análisis cualitativo, niveles y matriz de riesgos. Limitaciones.  Riesgos, análisis por las pérdidas o por las entidades que lo determinan.  Valuación de riesgos por las pérdidas. Análisis cuantitativo, ALE, impactos y frecuencias anuales de ocurrencia. LDA y VaR. Limitaciones del LDA Bayes y Monte Carlo  Pérdidas por análisis cualitativo, niveles y matriz de riesgos. Limitaciones.  Entidades de riesgo de seguridad. Activos parámetros de seguridad básicos, CIA. categorización. Vulnerabilidades. Amenazas. Matriz de riesgos.  Salvaguardas, características. Estados de riesgo: intrínseco, actual y residual. ISO 27005.  Análisis de riesgos de seguridad de la información. Contexto criterios de consideración de impactos, y evaluación y aceptación de riesgos, objetivos y alcance.  Valuación de riesgos. Análisis, identificación de factores de riesgos, objetivos y alcance.  Valuación de riesgos. Análisis, identificación de factores de riesgos y estimación cualitativa y cuantitativa. Evaluación de consecuencias. Tratamiento, aceptación, comunicación, monitoreo y revisión de riesgos.  Diagrama de flujo. Ciclo PDCA de riesgos.  Parámetros adicionales de seguridad; Autenticación, Responsabilidad y Confiabilidad.  El aporte de la BS 7799-3 con el enfoque de negocios. Procesos de negocios funciones de negocio y activos, criticidad. Riesgos por análisis de las entidades de seguridad . Mejoras: factor de importancia, suma y promedio de riesgos, cruces de amenazas y vulnerabilidades. MEDICION DEL DESEMPEÑO

ISO 27004

 Métricas de gestión. Objetivos, eficiencia del SGSI y efectividad de los controles Integración con los negocios.  Modelo de un programa de ejecución de mediciones, entidades y atributos. Cuantificación de atributos, métodos. Mediciones de base y derivadas, indicadores. Resultados y criterios de decisión.  Obligaciones del directorio. Documentación.  El aporte del estándar NIST 800-55v1. Mapeado controles ISO del NIST 80053. www.corporacionelite.org (t) 593-2-3226-851 / 593-2-6039-521 (c) 593-9-9463-231

[email protected] Quito - Ecuador

4

RIESGOS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN

 El Balanced Scorecard (BSC)  El enfoque de negocios. Visión, Misión y Valores. Estrategia.  Antecedentes en la medición del desempeño. Factores Críticos de Éxito, CSF. Indicadores Claves de Desempeño, KPI. Activos Intangibles. Objetivos estratégicos.  El Balanced Scorecard, BSC o Cuadro de Mando Integral, CMI. Mapa Estratégico y Tablero de Comando.  Las cuatro perspectivas del BSC: Finanzas, Clientes, Procesos internos, y Aprendizaje y Crecimiento.  Temas Estratégicos, el análisis FODA. Relaciones causa-efecto. Formación del Mapa Estratégico. Formación del Tablero de Comando.  Objetivos estratégicos del BSC. El concepto SMART. Diferencia entre mediciones, métricas e indicadores. Indicadores de resultados y de desempeño. Causa-efecto entre indicadores. Validación de indicadores. Metas. Iniciativas, validación, prioridades.  Gestión y reportes del BSC, simulación y análisis.  Operativización de la Visión y Estrategia. Niveles, Objetivos e Indicadores operacionales.  Gestión de seguridad y BSC. Objetivos operacionales y objetivos de control. Iniciativas y controles, validación. EL FACTOR GENTE  Cómo los riesgos y la efectividad de las medidas de seguridad se ven afectadas por el personal.  La resistencia a los cambios.  Conocimiento, creencias, actitud y comportamiento.  Comunicación.  Participación, compromiso y responsabilidad. Resiliencia, Inteligencia Emocional. Cultura corporativa. Kaizen.  La gestión de cambios y la Psicología Social. TALLER DE TRABAJO  Con una duración de 10 horas el Taller consiste en revisar 20 documentos Excel y Word basados en experiencias reales y que pueden usarse posteriormente para sus proyectos particulares, realizando 12 Trabajos Prácticos sobre dichos documentos.  Los asistentes trabajarán en grupos conformados en forma similar al Foro de Gestión que pide la norma. Se busca que el trabajo del Taller tenga características prospectivas en cuanto a las competencias conversacionales e interactivas, para que así el grupo mismo pueda definir adecuadamente las

www.corporacionelite.org (t) 593-2-3226-851 / 593-2-6039-521 (c) 593-9-9463-231

[email protected] Quito - Ecuador

5

RIESGOS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN

responsabilidades individuales, y la forma de llevar adelante y mejorar las acciones correspondientes. DOCUMENTOS SOBRE LOS QUE SE TRABAJA 1 - Documentación del taller 2 - Diagrama de flujo 3 - Cronograma de implementación 4 - Vulnerabilidades físicas, organizacionales y operacionales verificadas 5 - Vulnerabilidades operacionales por Delphi 6 - Salvaguardas, tipos y niveles. Salvaguardas vs. Riesgos 7 - Riesgos Servidor Windows (*) 8 - Prioridades reducción riesgos en un Activo 9 - Vulnerabilidades a partir de controles (*) 10 - Salvaguardas a partir de controles (*) 11 - Cálculo de riesgo residual (*) 12 - Controles de seguridad. 13 - Factor Gente (*) 14 - Métricas de la efectividad de la concientización. (*) 15 - Análisis Gap de riesgos según ISO 27002 – Vulnerabilidades a partir de controles (*) 16 - Métricas de Objetivos de Control ISO 27002 (*) 17 - Métricas de Controles ISO 27002 (*) 18 - Medición de desempeño: BSC (*, triple) 19 - Pérdidas productividad e ingresos 20 - ROSI, Cálculo con valores fijos (*): Incluye Trabajo Práctico MATERIAL DE SOPORTE IMPRESO             

Gestión y Auditoria de Seguridad de la Información – Abstract Áreas y Objetivos de Control ISO 27002:2005 Controles Claves ISO 27002:2005 Controles clasificados por Acciones Controles vs. Parámetros seguridad Punteo controles 27002:2005 Alcance, política general, y política de uso. Activos primarios clasificados, niveles. Vulnerabilidades clasificadas, niveles. Amenazas definidas, niveles. Amenazas vs. Activos. Vulnerabilidades y riesgos Operacionales – Protección datos personales Prioridades riesgos totales de Activos

www.corporacionelite.org (t) 593-2-3226-851 / 593-2-6039-521 (c) 593-9-9463-231

[email protected] Quito - Ecuador

6

RIESGOS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN

           

Vulnerabilidades y Riesgos Operacionales – Protección datos personales Prioridades riesgos totales de Activos Matriz de Riesgos Resumen riesgos servidores Políticas de Uso Foro de Gestión Auditoria de Objetivos de Control ISO 27002 Auditoria del SGSI El ROI de la Seguridad y las Primas de seguro Oportunidades y aplicaciones de un proyecto de seguridad de la información Sitios Web de información general Siglas y Acrónimos

CONTENIDO DEL CD Material del taller (20 documentos)             

ISO 27000 en Inglés ISO 27002 en Español ISO 27001 en Español Norma AS/NZS 4360 Risk Management Norma IRAM 17550 (Draft) Gestión de Riesgos Sistema Alemán BSI Risk análisis Información sobre el sistema alemán BSI Nuevo Manual BSI 2007 NIST 800-53 NIST 800-55v1 Seguridad Informática vs. Seguridad de la Información Nuevas Perspectivas de la Seguridad de la Información Análisis de Impactos y Valuación de Riesgos

PERFIL DEL INSTRUCTOR

Ing. Carlos Ormella Meyer Ha sido Profesor Universitario de Grado y de Maestría. Es consultor, analista y auditor en seguridad de la información, redes inalámbricas e Internet, con especial dedicación al análisis y gestión de riesgos, cumplimiento/certificación de normas ISO 27002/ISO 27001, protección de datos personales y gestión de cambios organizacionales. Especializado en implementación de medidas de seguridad en sistemas de Continuidad de Negocios, para tratamiento de Riesgos Operacionales en entidades financieras según Basilea II, y conformidad Sarbanes-Oxley. De la misma manera se desempeña en trabajos de evaluación económica-financiera y administración de proyectos. www.corporacionelite.org (t) 593-2-3226-851 / 593-2-6039-521 (c) 593-9-9463-231

[email protected] Quito - Ecuador

7

RIESGOS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN

Desde hace 30 años ha venido participando en Venezuela y Argentina en la implementación y dirección de sistemas de telecomunicaciones por microondas terrestres y satelitales, sistemas de control de estaciones no atendidas, teleproceso, acceso remoto, LAN, WAN, LANs Inalámbricas, sistemas de seguridad de la información, y planes de continuidad de negocios y de contingencia. Desde 1985 viene dictando cursos y conferencias en Argentina, Venezuela, El Salvador, Colombia, Perú y Paraguay. Ha sido editor de la revista LAN & WAN donde ha publicado varios centenares de artículos de tecnología. INVERSIÓN  $ 485 dólares más IVA  Aceptamos todas las tarjetas de crédito en corriente. Planes en diferido con tarjetas del Banco del Pichincha, Banco de Guayaquil, Produbanco y Diners. LUGAR, DURACION Y FECHAS  Duración: 16 horas  Lugar y fecha: de acuerdo a calendario QUIENES SOMOS Corporación Elite brinda servicios de capacitación de alto nivel, consultoría en gestión del talento humano y consultoría en gestión de proyectos. Algunos de nuestros clientes: Repsol YPF, Oxy, OCP, BID, Citibank, Siemens, Petrobrás, General Motors, Petroamazonas, Sipec, Alcatel, Telefónica, Telconet, Tata, Andinatel, CNT, Novatech, Schlumberger, Smartpro, Andespetro, Produbanco, Flopec, Agip Oil, Tecna, Nokia Siemens Network, Hidropaute, Yanbal, Armada del Ecuador, Pinturas Cóndor, Pfizer, GSK, Cotecna, Hewlett-Packard, Kraft, Banred, Diners Club, Banco del Austro, Banco de Loja, UDLA, ESPE, Universidad de Loja, Escuela Politécnica Nacional, ESPOL, Empresa Eléctrica Quito, ETAPA, entre muchos otros. Mayor información visite nuestro sitio web www.corporacionelite.org CORPORACION ÉLITE ES UN CENTRO ACREDITADO POR LA SENRES PARA CAPACITACIÓN DE RRHH

www.corporacionelite.org (t) 593-2-3226-851 / 593-2-6039-521 (c) 593-9-9463-231

[email protected] Quito - Ecuador

8

Get in touch

Social

© Copyright 2013 - 2024 MYDOKUMENT.COM - All rights reserved.