CURSOS DE SEGURIDAD DE LA

INFORMACIÓN Y AUDITORIA
DE SISTEMAS
 SEGURIDAD DE LA INFORMACION

INTRODUCCION

La Información y los Sistemas Informáticos han de protegerse de modo global y

particular; a ello se debe la existencia de la Seguridad la Información. Es por ello que
deben existir metodologías ágiles que permitan no solo el control de la información,
sino el tratamiento integral de la misma afín de conseguir la mayor productividad de los
datos.

Los cursos están diseñados para fortalecer la formación de Gestión y Métodos de la

Seguridad de la Información en las organizaciones, orientado al conocimiento de
Metodologías, técnicas y buenas prácticas utilizadas a nivel mundial que permitirán al
participante:

 Administrar los riesgos de la Organización

 Proteger la Información y sus activos de información.
 Asegurar la continuidad operativa de la organización
 Crear cultura y conciencia de Seguridad de la Información dentro de la
Organización.
 Sensibilizar a los profesionales, gerentes, jefes y responsables hacia la
necesidad de proteger los activos de la organización.

A continuación se presentan los siguientes módulos de Seguridad de la Información:

MODULO I
GESTION DE RIESGOS DE TI Y DISEÑO DE POLÍTICAS
DE SEGURIDAD

Al concluir el curso el participante:

- Estará capacitado para identificar y evaluar los riesgos informáticos y de la

Información en su organización.
- Conocerá y desarrollará en base a la metodología de Gestión de Riesgos, la
evaluación, tratamiento y monitoreo de los riesgos
- Elaborará matrices de riesgo que le permita gestionar los riesgos
- Determinará e Implementará controles de seguridad que le permitan reducir los
riesgos hasta niveles aceptables.
- Estará en la capacidad de diseñar políticas y procedimientos acordes a la realidad
organizacional
- Elaborar y difundir las políticas y procedimientos de seguridad en la
organización.

Contenido del Curso:

GESTION DE RIESGOS DE TI
 Evaluación de los diversos tipos de riesgos informáticos y su relación con
las políticas empresariales
 Administración del Riesgo de TI
 Metodología de la evaluación de Riesgos: Identificación, Evaluación y
Ponderación y valuación
 Tratamiento de los Riesgos informáticos
 Matrices de Riesgo
 Taller de elaboración de matriz de riesgos (trabajo grupal)

DISEÑO DE POLITICAS Y PROCEDIMIENTOS DE SEGURIDAD

 Diseño de políticas y procedimientos de gestión de riesgos de TI
 Metodologías y estándares para el diseño de políticas de seguridad.
 Premisas, Características, alcance y ventajas de las políticas de seguridad.
 Desarrollo de Políticas de Seguridad (trabajo práctico)
MODULO II
GESTION DE LA CONTINUIDAD DEL NEGOCIO Y
SEGURIDAD FISICA

Al finalizar el participante:

- Adquirirá el conocimiento de la metodología para implementar y/o dirigir la

elaboración e implementación de un plan de continuidad de negocios en su
Organización.
- Definirá los alcances y escenarios para la elaboración de un plan de continuidad de
negocios
- Elaborar un Análisis de Impacto del Negocio (BIA)
- Estará en la capacidad de evaluar y proponer alternativas de contingencia ante un
escenario de desastre.
- Podrá elaborar un plan de contingencia y recuperación de desastres.
- Conocerá los riesgos a los que esta expuesta la información y sus recursos desde el
punto de vista de seguridad física

Contenido del Curso:

GESTION DE LA CONTINUIDAD DEL NEGOCIO

 Continuidad, evento, incidente, siniestro
 Metodología de elaboración del Plan de Continuidad de Negocios y
 Recuperación de Desastres
 Continuidad, evento, incidente, siniestro
 Riesgo, causa, amenaza, impacto
 Definición de escenarios para el análisis
 Probabilidad de Ocurrencias
 Planeación de contingencia
 Recuperación de desastre
 Como evaluar los Costos y el Beneficio de contar con un plan de
continuidad de negocios
 Pruebas del Plan de Continuidad de Negocios
 Business Continuity Management
 Relación con la Administración de riesgos

SEGURIDAD FISICA
 Administración de facilidades
 Diseño y premisas en seguridad física
 Riesgos y controles
 Consideraciones en la gestión de energía eléctrica
 Amenaza Incendio.
MODULO III
GOBIERNO DE TI, CONTROL INTERNO Y MEJORES
PRÁCTICAS

INTRODUCCION:

El gobierno de TI suministra la estructura que vincula los procesos de TI, los recursos de
TI y la información para las estrategias y los objetivos de la empresa.
Adicionalmente, el gobierno de TI integra e institucionaliza buenas (o las mejores)
prácticas para planificar y organizar, adquirir e implementar, entregar y respaldar, y
monitorear el desempeño de TI para asegurar que la información y la tecnología
relacionada de la empresa respalden sus objetivos de negocios. El gobierno de TI
permite así que la empresa saque todo el provecho de su información, maximizando de
este modo los beneficios, capitalizando las oportunidades y ganando ventaja
competitiva.

El curso pretende promover mejorar y desarrollar las capacidades de los profesionales

en general, en relación con las prácticas generalmente aplicables y aceptadas de control
y gobierno en TI.

En tal sentido COBIT es una herramienta que permite a los gerentes comunicarse y
salvar la brecha existente entre los requerimientos de control, aspectos técnicos y
riesgos de negocio. Habilita el desarrollo de una política clara y de buenas prácticas de
control de TI a través de organizaciones, en el ámbito mundial.

Lo anterior ha traído como resultado la definición de las Directrices Gerenciales para

COBIT, que están constituidos por Modelos de Madurez, Factores Críticos del Éxito
(CSFs, siglas de los términos en inglés), Indicadores Claves de Objetivo (KGIs, siglas de
los términos en inglés) e Indicadores Claves de Desempeño (KPIs, siglas de los
términos en inglés).

Este entrega un marco significativamente mejorado que responde a la necesidad de

control y mensurabilidad de TI de la administración suministrándole a la administración
herramientas para determinar y medir el entorno de TI de su organización contra los
34 procesos de TI que COBIT identifica.

GOBIERNO Y OBJETIVOS DE CONTROL DE TI

Objetivo:
Asegurar que la organización tiene una estructura, políticas, mecanismos y prácticas de
monitoreo para alcanzar sus objetivos de gobierno de TI.

Propósito de las estrategias, políticas, estándares y procedimientos de TI, para una

organización y los elementos esenciales de cada uno.

Contenido del Curso:

 Marco de control de gobierno de TI

  Procesos para el desarrollo, implementación y mantenimiento de estrategias,
políticas, estándares y procedimientos de TI
 Estrategias y políticas de administración de calidad.
 Estructura organizacional, roles y responsabilidades de la administración de TI
(RACI)
 Estándares y lineamientos internacionales de TI generalmente aceptados.
 Arquitectura de TI y sus implicaciones para establecer dirección estratégica
de largo plazo.
 Marcos de control (COSO, Estándar Australiano)
 Estrategias, procesos y prácticas de administración de contratos. Prácticas para
monitoreo y reporte de desempeño de TI
 Retorno de la inversión en recursos de TI (ROI)

MODULO IV
ASEGURAMIENTO DE LA GESTIÓN DE TI COBIT 4.1

El objetivo es proporcionar los lineamientos a la dirección en cómo utilizar COBIT para

soportar una variedad actividades de aseguramiento de tecnología de la información y
sus riesgos inherentes, se refieren a la existencia y al diseño de la eficacia de los
controles propuestos así como a las responsabilidades conexas.
En el curso se impartirán los nuevos conceptos para realizar las auditorias de
tecnologías de la información basados en la versión COBIT 4.1 los cuales reemplazan a
las conocidas COBIT® Audit Guidelines. Se incorporan nuevas técnicas y
procedimientos de pruebas sobre los controles implementados permitiendo así al auditor
interno elaborar programas detallados de auditoria los cuales puedan ser desarrollados
por auditores de menor experiencia.

Contenido del Curso:

 Principios de Aseguramiento y Contexto

 La Planificación del Aseguramiento
 Determinación de los recursos y el alcance de los objetivos de Control
Aseguramiento de la ejecución de las iniciativas para implementar los
objetivos de control
 Guía para de aseguramiento para COBIT controles y procesos, el alcance de
la TI
 Cómo los componentes de COBIT soportan las actividades de Aseguramiento
en TI
 Pasos para el aseguramiento de los procesos: Planeación y Organización,
Adquisición e Implementación, Entrega y Soporte, Monitoreo y Evaluación,
Controles de Aplicación, Modelo de madurez del control interno, COBIT y
productos relacionados.
MODULO V
IMPLEMENTACIÓN OBJETIVOS DE CONTROL EN TI – COBIT
4.1

El objetivo de este curso es revisar los conceptos de control del COBIT y las estrategias
de implantación: Algunos tópicos cubiertos en este curso son: Requerimientos del
Negocio, Criterios para la Información, Recursos de tecnología de Información,
Dominios de Control de Tecnología de Información, Estrategias de implementación
COBIT

TALLER DE EVALUACIÓN CSA (HERRAMIENTA DE ITGOVERNANCE)

 Definición (CSA)- Auto evaluación de Controles (Control Self-Assessment)
 Evaluación de riesgo / valor para el negocio
 Aplicación (CSA) - Auto evaluación de controles CSA para TI

HERRAMIENTA BSC PARA TI Y LA CREACIÓN DE VALOR

 Objetivos y métricas
 Objetivos del proceso
 Objetivos de TI
 Diseño de indicadores de gestión en TI
 Factores Críticos de éxito
 Indicadores Clave de Objetivo del proceso
 Indicadores Clave de Objetivo de TI
 Indicadores Clave de Desempeño

REQUERIMIENTOS DEL NEGOCIO Y MODELOS DE MADUREZ CMM

Para el control de los procesos de TI consisten en desarrollar un método de puntaje de
modo que una organización pueda calificarse a sí misma desde inexistente hasta
optimizada (de 0 a 5). Este método ha sido derivado del Modelo de Madurez que el
Software Engineering Institute definió para la madurez de la capacidad de desarrollo de
software. Contra estos niveles, desarrollados para cada uno de los 34 procesos de TI de
COBIT, la administración puede mapear o cruzar el estado actual de la
organización vs una buena práctica.
RESUMEN EXPOSITORES:

Ing. Alcides Herrera Espinoza

Lead Auditor ISO 27001, CISM, ITIL Practitioner, Implementation IT
Governance, CBCP (en proceso)

Ingeniero Electrónico de la Pontificia Universidad Católica del Perú con especialidad

en Comunicaciones, Seguridad de la Información y Auditoria de TI.
Catedrático universitario y expositor en Diplomados de las especialidades de
Seguridad de la Información y Auditoria. Docente de la escuela de Ingeniería de
Seguridad
Conocimientos en Gestión e Implementación de Metodologías y buenas prácticas de: ISO
27001, ISO 27002, Gobierno de TI, ITIL, Risk Management (AS/NZE 4360, NIST, BS
7799 – 3, otros), BCM – BS 25999, PMI.
Se desempeño en el sector de Seguros como Oficial de Seguridad de la Información y Jefe
de Telecomunicaciones en Rímac Compañía de Seguros y La Positiva Seguros. En el
sector de servicios se desempeño como Oficial de Seguridad por el Consorcio Telefónica-
GMD que brinda los servicios de Outsourcing a la Oficina de Normalización Previsional.
Se desempeño como oficial de Seguridad de IBM para el servicio de outsourcing de
Petro Perú. Actualmente se desempeña como Gerente de Recuperación de TI de un
reconocido Banco local.

Ing. Omar Neyra Cordova

Lead Auditor ISO 27001

Ingeniero de Sistemas, Especialista en Auditoria de Sistemas, miembro Ex directivo de

Information Systems Audit and Control Association (ISACA) capítulo de Lima, asociado
al Institute of Internal Auditors (IIA).
Con más de doce años de experiencia ejerciendo funciones de auditoría de sistemas en
empresas como el Grupo Endesa y el BCR, ha sido docente de la Maestría en
Sistemas de información de la Universidad Nacional de Piura, I-SEC Information
Security Inc, Universidad Científica del Sur, y entidades como Banco de la Nación,
Sunat entre otros.
Se desempeño como Auditor Especialista en Tecnologías de Información en el Banco
Central de Reserva del Perú y es expositor de la Escuela Nacional de Control en los
cursos de Control Interno Gubernamental.
Actualmente se desempeña como Oficial de Seguridad de IBM para Petro Perú.